Ransomware наскоро удари някои необезпечени инсталации на MongoDB и задържа данните за откуп. Тук ще видим какво е MongoDB и да разгледате някои стъпки, които можете да предприемете, за да защитите и защитите MongoDB базата данни. Първо, тук е кратко въведение за MongoDB.
Какво представлява MongoDB?
MongoDB е база данни с отворен код, която съхранява данни, използвайки модел за гъвкав документ. MongoDB се различава от традиционните бази данни, които са изградени с помощта на таблици и редове, докато MongoDB използва архитектура на колекции и документи.
След създаването на динамична схема, MongoDB позволява на документите в колекцията да имат различни полета и структури. Базата данни използва формат за съхранение на документи и обмен на данни, наречен BSON, който осигурява двоично представяне на JSON-подобни документи. Това прави интегрирането на данни за определени типове приложения по-бързо и по-лесно.
Ransomware атакува данните на MongoDB
Наскоро Виктор Гевър, изследовател по сигурността, постави на покана, че имаше низ от атаки на Ransomware срещу лошо защитени инсталации на MongoDB. Атаките започнаха през декември миналата година около Коледа 2016 и оттогава са заразили хиляди сървъри на MongoDB.
Първоначално Виктор откри 200 инсталации на MongoDB, които бяха атакувани и държани за откуп. Обаче скоро заразените инсталации се увеличиха до 2000 DBs, както се съобщава от друг изследовател по сигурността, основател на Shodan John Matherly, и до края на 1во през 2017 г. броят на компрометираните системи е бил над 27 000.
- попита Рейнсъм
Първоначалните доклади предполагат, че нападателите изискват 0.2 Bitcoins (приблизително 184 щ.д.) като откуп, платено от 22 жертви. Понастоящем нападателите са увеличили размера на откупа и сега искат 1 Bitcoin (приблизително 906 USD).
След разкриването изследователите по сигурността са идентифицирали повече от 15 хакери, участващи в отвличането на сървъри на MongoDB. Сред тях е нападателят, който използва имейл дръжка kraken0 има компрометирани повече от 15,482 MongoDB сървъри и изисква 1 Bitcoin да върне изгубените данни.
Как се промъква MongoDB Ransomware?
MongoDB сървърите, които са достъпни през интернет без парола, са били насочени от хакерите. Следователно администраторите на сървъри, които са избрали да пускат сървърите си без парола и използва потребителски имена по подразбиране бяха лесно забелязани от хакерите.
Още по-лошо, има случаи на един и същ сървър повторно опростен от различни хакерски групи които заместват съществуващите бележки за откуп със собствените си, което прави невъзможно за жертвите да знаят дали дори плащат правото престъпник, да не говорим дали данните могат да бъдат възстановени. Следователно, няма сигурност дали някоя от откраднатите данни ще бъде върната. Следователно, дори ако сте платили откупа, данните ви все още може да са изчезнали.
MongoDB сигурност
Това трябва да е, че администраторите на сървъри трябва да зададат силна парола и потребителско име за достъп до базата данни. Компаниите, които използват инсталацията по подразбиране на MongoDB, също се съветват да актуализират софтуера си, настройте удостоверяване и заключване на порт 27017 която е насочена най-много от хакерите.
Стъпки за защита на вашите MongoDB данни
Прилагане на контрол на достъпа и удостоверяване
Започнете, като активирате контрола за достъп до сървъра си и задайте механизма за удостоверяване. Удостоверяването изисква всички потребители да предоставят валидни идентификационни данни, преди да могат да се свържат със сървъра.
Последния MongoDB 3.4 release ви позволява да конфигурирате удостоверяване на незащитена система, без да причинявате престой.
Настройване на контрола за достъп на базата на роли
Вместо да осигурите пълен достъп до набор от потребители, създайте роли, които дефинират точния достъп, който се нуждае от набор от потребители. Следвайте принцип на най-малко привилегии. След това създайте потребители и им присвоите само ролите, от които се нуждаят, за да извършват операциите си.
Шифроване на комуникацията
Криптираните данни са трудни за интерпретация и не много хакери са в състояние да ги декриптират успешно. Конфигурирайте MongoDB да използва TLS / SSL за всички входящи и изходящи връзки. Използвайте TLS / SSL, за да шифровате комуникацията между компонентите mongod и mongos на клиент на MongoDB, както и между всички приложения и MongoDB.
Използвайки MongoDB Enterprise 3.2, природното шифроване при почивка на WiredTiger може да бъде конфигурирано да шифрова данни в слоя за съхранение. Ако не използвате криптиране на WiredTiger в покой, данните за MongoDB трябва да бъдат шифровани на всеки хост, като се използва файлова система, устройство или физическо криптиране.
Ограничаване на експозицията на мрежата
За да ограничите излагането на мрежа, уверете се, че MongoDB работи в надеждна мрежова среда. Администраторите трябва да позволяват достъп само до доверени клиенти за мрежовите интерфейси и пристанищата, на които са налице MongoDB копия.
Архивирайте данните си
MongoDB Cloud Manager и MongoDB Ops Manager осигуряват непрекъснато архивиране с точково възстановяване на времето и потребителите могат да активират предупреждения в облачния мениджър, за да открият дали тяхното разполагане е изложено на интернет
Дейност на системата за одит
Одиторските системи периодично ще гарантират, че сте наясно с всякакви нередовни промени в базата данни. Проследяване на достъпа до конфигурациите и данните на базата данни.MongoDB Enterprise включва система за одит на системата, която може да записва системни събития на MongoDB инстанция.
Пуснете MongoDB с специален потребител
Изпълнете MongoDB процеси с потребителски акаунт на специална операционна система. Уверете се, че профилът има разрешения за достъп до данни, но не и ненужни разрешения.
Стартирайте MongoDB със Secure Configuration Options
MongoDB поддържа изпълнението на кода на JavaScript за определени операции на сървъра: mapReduce, group и $ where. Ако не използвате тези операции, деактивирайте скриптовете от страна на сървъра, като използвате опцията-unscripting на командния ред.
Използвайте само протокола MongoDB за проводниците. Поддържайте валидността на входа активирана. MongoDB позволява по подразбиране проверка на вход чрез настройката wireObjectCheck. Това гарантира, че всички документи, съхранявани от инстанцията на Mongod, са валидни BSON.
Поискайте Ръководство за техническо изпълнение на сигурността (където е приложимо)
Ръководството за техническо внедряване за сигурност (STIG) съдържа насоки за сигурност за разполагане в рамките на Министерството на отбраната на Съединените щати. MongoDB Inc. предоставя своя STIG, при поискване, за ситуации, при които е необходимо. За повече информация можете да поискате копие.
Помислете за съответствие със стандартите за сигурност
За приложения, изискващи съответствие с HIPAA или PCI-DSS, моля, направете справка в архитектурата на MongoDB Security Reference Reference тук за да научите повече за това как можете да използвате ключовите възможности за сигурност, за да изградите съвместима инфраструктура за приложения.
Как да разберете дали вашият MongoDB инсталация е хакнат
- Проверете вашите бази данни и колекции. Хакерите обикновено пускат бази данни и колекции и ги заменят с нова, докато искат откуп за оригинала
- Ако контролът на достъпа е активиран, проверете системните журнали, за да откриете неуспешни опити за достъп или подозрителна дейност. Потърсете команди, с които сте извадили данните си, модифицираните потребители или сте създали запис на търсенето на откуп.
Имайте предвид, че няма гаранция, че данните ви ще бъдат върнати дори след като сте платили откупа. Следователно, след атака, вашият първи приоритет трябва да бъде защитата на вашия клъстер (и), за да се предотврати по-нататъшен неоторизиран достъп.
Ако вземате резервни копия, то тогава, когато възстановите най-новата версия, можете да прецените кои данни може да са се променили след последното архивиране и времето на атаката. За повече, можете да посетите mongodb.com.
