CIBERSEGURIDAD

La base de datos no segura de Internet atrae a los piratas informáticos en cuestión de horas

0 67 3 minutos de lectura


Solo tiene que leer las noticias en este mismo sitio web para encontrar innumerables historias de casos en los que las empresas han dejado inadvertidamente una base de datos expuesta en la web; es la peor pesadilla de todo profesional de la seguridad.

Los investigadores de Comparitech, que a menudo serán la fuente para encontrar estas bases de datos mal configuradas para alertar a la compañía desprevenida, decidieron establecer un experimento de honeypot para ver el poco tiempo que tomaría antes de que se pudiera encontrar una base de datos de este tipo.

El investigador jefe de ciberseguridad, Bob Diachenko, creó una simulación de una base de datos en una instancia de Elasticsearch completa con datos de usuario falsos y la dejó expuesta públicamente para registrar los resultados durante 11 días.

En poco más de 8 horas después de la exposición, la base de datos había intentado el acceso no autorizado (a lo que Diachenko se refiere como un «ataque). Y durante los días en los que estuvo expuesta, fue atacada en promedio 18 veces al día, 175 veces en total.

La investigación debería servir como un claro recordatorio para las empresas de la importancia de proteger las bases de datos como Elasticsearch y muestra cuán oportunistas son los piratas informáticos. Al comentar, Warren Poschman, arquitecto senior de soluciones en comforte AG, dijo:

“Los departamentos de TI que dejan bases de datos desprotegidas en Internet, datos en buckets S3 mal configurados o que no reparan sistemas críticos que están conectados a Internet es un hecho desafortunado y cada vez más frecuente a medida que más organizaciones nublan sus operaciones heredadas o avanzan hacia nuevas infraestructuras nativas de la nube.

“Con cientos de controles y una multitud de regulaciones emergentes para proteger la privacidad, la implementación adecuada y sólida puede ser una tarea abrumadora, y mucho menos los requisitos básicos de seguridad que se requieren para la supervivencia básica”, continuó.

David Kennefick, arquitecto de productos de Edgescan, dijo que su equipo encuentra estos casos mucho más de lo que la gente podría pensar, ya que Edgescan supervisa las bases de datos expuestas como parte de su servicio de creación de perfiles continuo; sin embargo, la nube ha mejorado las cosas. Dijo: “Ha habido una mejora sustancial durante la gran migración a la nube. El uso de un servicio como AWS o Azure, que bloquea automáticamente sus máquinas y servicios, es una excelente manera de reducir la probabilidad de dejar algo expuesto. Estos proveedores, de hecho, tienen este control habilitado de forma predeterminada, lo que significa que los usuarios tienen que hacer todo lo posible para dejar cualquier cosa expuesta en Internet.

“Los problemas con las bases de datos expuestas se presentan cuando los equipos administran tecnologías que no tienen este control habilitado de forma predeterminada; existe una suposición de seguridad, y esto lleva a las organizaciones por el camino de la exposición accidental”, explicó Kennefick.

Por supuesto, si los buenos están buscando, también los malos. Boris Cipot, ingeniero de seguridad senior de Synopsys, explicó que los piratas informáticos han creado sus propios motores de búsqueda para buscar bases de datos o dispositivos expuestos.

“Encontrar bases de datos o dispositivos expuestos en Internet hoy en día es bastante fácil, como lo demuestra la investigación de honeypot de Comparitech. Hay motores de búsqueda especialmente diseñados que buscan dispositivos expuestos en Internet, e incluso malware como Kaiji (como un ejemplo) busca automáticamente sistemas operativos expuestos con acceso root ”, dijo Cipot.

“Por esta razón, una marca de tiempo de menos de 9 horas antes de que comenzara el primer“ ataque ”no es nada sorprendente. Sin embargo, muestra que no hay mucho tiempo para que las empresas encuentren un error y lo repare antes de que exista la posibilidad de que un mal actor lo identifique y manipule. Cada error en el aprovisionamiento de sus recursos puede generar grandes problemas. A menudo vemos que se realizan pasos inseguros al implementar instancias en el entorno de la nube. La configuración de seguridad insegura conduce a sistemas y dispositivos explotables «.

Poschman de Comforte señaló que los hallazgos son indicadores clave de que ir más allá del perímetro, los controles de acceso y otros controles tradicionales son absolutamente necesarios.

“La seguridad de los datos es el único que no debe dejarse de lado. Al implementar una seguridad centrada en los datos, las organizaciones pueden eliminar el riesgo al garantizar que los datos estén protegidos independientemente de dónde residan o quién los esté usando; no es algo agradable, sino una necesidad dados los vectores de ataque actuales y la expansión del uso de la nube ”, dijo.

Cipot de Synopsys recomendó que las empresas piensen en el aprovisionamiento de recursos de manera muy similar a la lista de verificación de un piloto antes del despegue, lo que conducirá a dos cosas importantes, “primero, la creación de políticas y procedimientos de seguridad y, en segundo lugar, una lista de verificación que no deja espacio para errores.»

Los detalles completos, incluidos los métodos de ataque que se utilizaron y lo que los atacantes intentaron hacer con los datos, se pueden encontrar en este blog:

https://www.comparitech.com/blog/information-security/unsecured-database-honeypot/

Publicaciones relacionadas

GRC International Group aporta claridad a los informes de incumplimiento de GDPR con el lanzamiento de la ley GRCI.

IP Expo: la neutralidad de la red es importante para preservar una Internet sin centro, dice Berners-Lee

Prohibición de Huawei: el consejo de NCSC fue más matizado

Si las infracciones de la ciberseguridad son inevitables, ¿qué deberían hacer las organizaciones al respecto?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar