MongoDB Security: Osigurajte i zaštitite MongoDB bazu podataka od Ransomwarea

Ransomware je nedavno pogodio neke unsecured MongoDB instalacije i zadržao podatke za otkupninu. Ovdje ćemo vidjeti što je MongoDB i pogledajte neke korake koje možete poduzeti kako biste osigurali i zaštitili bazu podataka MongoDB. Za početak, ovdje je kratak uvod o MongoDB.

Što je MongoDB

MongoDB je baza podataka otvorenog izvora koja pohranjuje podatke pomoću fleksibilnog modela podataka o dokumentima. MongoDB se razlikuje od tradicionalnih baza podataka koje se grade pomoću tablica i redaka, dok MongoDB koristi arhitekturu zbirki i dokumenata.

Nakon dinamičnog dizajna sheme, MongoDB dopušta da zbirka dokumenata ima različita polja i strukture. Baza podataka koristi format pohrane dokumenata i razmjene podataka pod nazivom BSON, koji pruža binarnu prezentaciju dokumenata sličnih JSON-u.

Ransomware napada MongoDB podataka

Nedavno je Victor Gevers, sigurnosni istraživač tweetovao da postoji niz Ransomware napada na loše osigurane MongoDB instalacije. Napadi su započeli prošlog prosinca oko Božića 2016. i od tada su zaraženi tisućama MongoDB poslužitelja.

U početku, Victor je otkrio 200 instalacija MongoDB koje su napadnute i održane za otkupninu. Međutim, uskoro su zaražene instalacije skočile na 2000 DB, kao što je izvijestio drugi istraživač sigurnosti, Shodan osnivač John Matherly, i do kraja 1 ^st tjedan 2017, broj kompromitiranih sustava je više od 27.000.

Pretraživanje Ransom

Prva izvješća sugeriraju da su napadači zahtijevali 0,2 Bitcoins (oko US $ 184) kao otkupninu koje je plaćao 22 žrtava. Trenutno, napadači su povećali iznos otkupnine i sada traže 1 Bitcoin (oko 906 USD).

Od otkrića sigurnosni istraživači identificirali su više od 15 hakera uključenih u otmicu MongoDB poslužitelja. Među njima, napadač koji koristi e-mail adresu kraken0 je ugrožavao više od 15.482 MongoDB poslužitelja i traži 1 Bitcoin da vrati izgubljene podatke.

Do sada su oteti poslužitelji MongoDB više od 28.000 više hakera također rade isto - pristup, kopiranje i brisanje loše konfiguriranih baza podataka za Ransom. Štoviše, pridružio se i Kraken, grupa koja je prethodno bila uključena u distribuciju Windows Ransomware.

Kako se MongoDB Ransomware sprema u

MongoDB poslužitelje koji su dostupni putem interneta bez lozinke one koje su ciljane hakerima. Dakle, administratori poslužitelja koji su odabrali pokretanje poslužitelja bez zaporke i zaposlenici zadana korisnička imena lako su uočili hakeri.

Što je još gore, postoje slučajevi istog poslužitelja ponovno hakirani od strane različitih hakerskih skupina koji su zamijenili postojeće otkupnine sa svojim vlastitim, čime je žrtvama nemoguće znati jesu li čak i plaćali pravi kriminalac, a kamoli da li se njihovi podaci mogu oporaviti. Dakle, nema izvjesnosti da li se bilo koji od ukradenih podataka vraća. Dakle, čak i ako ste platili otkupninu, vaši podaci možda i dalje nestanu.

MongoDB security

Administratori poslužitelja moraju imati snažnu lozinku i korisničko ime za pristup bazi podataka. Tvrtke koje koriste zadanu instalaciju MongoDB-a također se preporučuju da ažuriraju svoj softver , postavljaju autentifikaciju i lock port 27017 koji je najviše ciljana od hakera.

Koraci do zaštitite svoje MongoDB podatke

1. Provedite kontrolu pristupa i autentifikaciju

Pokrenite Omogućite kontrolu pristupa vašeg poslužitelja i odredite mehanizam za provjeru autentičnosti. Provjera autentičnosti zahtijeva da svi korisnici dostave vjerodajnice prije nego što se mogu povezati s poslužiteljem.

Najnovija izdanja MongoDB 3.4 omogućuju da konfigurirate provjeru autentičnosti na nezaštićeni sustav bez zastoja.

1. Postavljanje kontrole pristupa na temelju uloga

Umjesto pružanja potpunog pristupa skupu korisnika, stvorite uloge koje definirati točan pristup skup korisnika potreba. Slijedite načelo najmanje privilegije. Zatim stvorite korisnike i dodijelite ih samo ulogama koje su im potrebne za obavljanje poslova.

1. Šifriranje komunikacije

Šifrirani podaci teško je tumačiti, a mnogi hakeri ne mogu uspješno dešifrirati. Konfigurirajte MongoDB za korištenje TLS / SSL za sve dolazne i odlazne veze. Koristite TLS / SSL za šifriranje komunikacije između mongod i mongos komponenti MongoDB klijenta, kao i između svih aplikacija i MongoDB.

Korištenjem MongoDB Enterprise 3.2, WiredTigerov izvorni koder za pohranu na Ostatak može se konfigurirati za šifriranje podataka u memoriji sloj. Ako ne koristite WiredTiger šifriranje u mirovanju, MongoDB podaci trebaju biti šifrirani na svakom hostu koristeći sustav datoteka, uređaj ili fizičku šifriranje.

1. Ograničite izloženost mreži

Da biste ograničili izloženost mreže, osigurajte da MongoDB radi u pouzdanoj mreži okoliš.

1. Sigurnosno kopiranje podataka

MongoDB Cloud Manager i MongoDB Ops Manager pružaju kontinuiranu sigurnosnu kopiju s točkastim oporavkom vremena, a korisnici mogu omogućiti upozorenja u Cloud Upravitelju za otkrivanje je li njihova implementacija izložena internetu

1. Aktivnost sustava revizije

Sustavi za reviziju povremeno će osigurati da ste svjesni bilo kakvih nepravilnih izmjena u bazi podataka. Praćenje pristupa konfiguracijama baze podataka i podacima. MongoDB Enterprise uključuje sustav za reviziju sustava koji može snimati događaje sustava na primjeru MongoDB.

1. Pokrenite MongoDB s namjenskim korisnicima

Pokrenite MongoDB procese s posebnim korisničkim računom operacijskog sustava. Provjerite da račun ima dozvole za pristup podacima, ali nema nepotrebnih dozvola.

1. Pokreni MongoDB sa sigurnosnim konfiguracijskim opcijama

MongoDB podržava izvršavanje JavaScript koda za određene operacije na strani poslužitelja: mapReduce, group i $ gdje. Ako ne upotrebljavate ove operacije, onemogućite skriptiranje na strani poslužitelja pomoću opcije -scripting na naredbenom retku.

Koristite samo MongoDB protokol žice na implementacijama u proizvodnji. Omogućite provjeru unosa. MongoDB omogućuje provjeru unosa prema zadanim postavkama putem postavke wireObjectCheck.

1. Zahtjev za sigurnosni tehnički priručnik za implementaciju (ako je primjenjivo)

Vodič za tehničku sigurnosnu provedbu (STIG) sadrži sigurnosne smjernice za implementacije unutar Odjela za obranu Sjedinjenih Država, MongoDB Inc. svojim zahtjevom daje STIG, za situacije gdje je to potrebno. Za dodatne informacije možete zatražiti kopiju.

1. Razmotrite sukladnost sa sigurnosnim standardima

Za programe koji zahtijevaju usklađenost s HIPAA ili PCI-DSS, molimo pogledajte Arhitekturu sigurnosne referencije MongoDB ovdje kako biste saznali više o tome kako može koristiti ključne sigurnosne mogućnosti za izgradnju kompatibilne aplikacijske infrastrukture.

Kako saznati je li vaša instalacija MongoDB sjeckana

• Potvrdite svoje baze podataka i zbirke. Hakeri obično ispuštaju baze podataka i zbirke te ih zamjenjuju novim, dok zahtijevaju otkupninu za izvorni
• Ako je omogućena kontrola pristupa, provjerite zapisnike sustava kako biste saznali za neovlaštene pokušaje pristupa ili sumnjivu aktivnost. Potražite naredbe koje su ispustile vaše podatke, izmijenjene korisnike ili stvorili rekord zahtjeva za otkupninu.

Imajte na umu da nema jamstva da će se vaši podaci vratiti čak i nakon što platite otkupninu. Stoga, nakon napada, vaš prvi prioritet treba osigurati vaše klastere kako bi spriječili daljnji neovlašteni pristup.

Ako uzmete sigurnosne kopije, tada u trenutku vraćanja najnovije verzije možete procijeniti koji su se podaci možda promijenili od najnovije sigurnosne kopije i vrijeme napada. Za više informacija posjetite mongodb.com .