MongoDB Security: Secure și protejează baza de date MongoDB din Ransomware

Ransomware a lovit recent unele instalații MongoDB nesigure și a ținut datele la răscumpărare. Aici vom vedea ce este MongoDB și aruncăm o privire la pașii pe care îi puteți lua pentru a proteja și proteja baza de date MongoDB. Pentru început, aici este o scurtă introducere despre MongoDB.

Ce este MongoDB

MongoDB este o bază de date open source care stochează datele utilizând un model flexibil de date pentru documente. MongoDB diferă de bazele de date tradiționale care sunt construite folosind tabele și rânduri, în timp ce MongoDB folosește o arhitectură a colecțiilor și a documentelor.

În urma unui design dinamic, MongoDB permite documentelor dintr-o colecție să aibă diferite domenii și structuri. Baza de date utilizează un format de stocare a documentelor și de schimb de date numit BSON, care oferă o reprezentare binară a documentelor asemănătoare JSON. Astfel, integrarea datelor pentru anumite tipuri de aplicații este mai rapidă și mai ușoară.

Atacuri Ransomware a datelor MongoDB

Recent, Victor Gevers, un cercetător de securitate tweeted că există un șir de atacuri Ransomware pe instalații MongoDB slab asigurate. Atacurile au început în decembrie anul trecut în jurul Crăciunului 2016 și au infectat de atunci mii de servere MongoDB.

Înițial, Victor a descoperit 200 de instalații MongoDB care au fost atacate și ținute la răscumpărare. Cu toate acestea, în curând, instalațiile infectate au crescut cu 2000 DB, după cum a raportat un alt cercetător de securitate, fondatorul Shodan, John Matherly, și până la sfârșitul săptămânii 1 din 2017, numărul sistemelor compromise a fost mai mare de 27.000.

Ransom a cerut

Rapoartele inițiale au sugerat că atacatorii au solicitat 0.2 Bitcoins (aproximativ 184 USD) ca răscumpărare plătite de 22 de victime. În prezent, atacatorii au crescut suma de răscumpărare și acum cer 1 Bitcoin (aproximativ 906 USD).

De la dezvăluire, cercetătorii de securitate au identificat mai mult de 15 hackeri implicați în deturnarea serverelor MongoDB. Printre aceștia, un atacator care folosește eticheta kraken0 a compromis mai mult de 15,482 servere MongoDB și cere 1 Bitcoin pentru a returna datele pierdute. Până acum, serverele MongoDB peste 28.000, deoarece tot mai mulți hackeri fac același lucru - accesarea, copierea și ștergerea unor baze de date confortabil pentru Ransom. Mai mult, Kraken, un grup care a fost implicat anterior în distribuția Windows Ransomware, sa alăturat și el.

Cum se strecoară MongoDB Ransomware în

serverele MongoDB care sunt accesibile prin internet fără parolă au fost cei care sunt vizați de hackeri. Prin urmare, administratorii de servere care au ales să ruleze serverele lor

fără parolă și angajați nume de utilizator implicit au fost ușor detectați de hackeri. Ce este mai rău, re-hacked de diferite grupuri de hackeri care înlocuiesc notele de răscumpărare existente cu propriile lor, ceea ce face imposibil pentru victime să știe dacă plătesc chiar criminalul potrivit, să nu mai vorbim dacă datele lor pot fi recuperate. Prin urmare, nu există nici o certitudine dacă vreuna dintre datele furate vor fi returnate. Prin urmare, chiar dacă ați plătit răscumpărarea, datele dvs. pot să dispară. Securitatea MongoDB

Este necesar ca administratorii de servere să atribuie o parolă puternică și un nume de utilizator pentru a accesa baza de date. Companiile care utilizează instalarea implicită a MongoDB sunt, de asemenea, sfătuite să-și actualizeze software-ul

, să configureze autentificarea și să blocheze portul 27017 care a fost țintit cel mai mult de hackeri. protejați-vă datele MongoDB Implicați controlul accesului și autentificarea Începeți prin Activarea controlului de acces al serverului dvs. și specificați mecanismul de autentificare. Autentificarea necesită ca toți utilizatorii să furnizeze acreditări valide înainte de a se putea conecta la server.

Versiunea cea mai recentă

1. MongoDB 3.4

vă permite să configurați autentificarea într-un sistem neprotejat, fără a afecta timpii de întrerupere.

Configurarea controlului accesului bazat pe roluri În locul accesului complet la un set de utilizatori, creați roluri defini accesul exact la un set de nevoi ale utilizatorilor. Urmează principiul celui mai mic privilegiu. Apoi creați utilizatori și le atribuiți numai rolurile de care au nevoie pentru a-și efectua operațiunile. Criptarea comunicațiilor

1. Datele criptate sunt greu de interpretat și nu mulți hackeri reușesc să o decripteze cu succes. Configurați MongoDB pentru a utiliza TLS / SSL pentru toate conexiunile de intrare și ieșire. Utilizați TLS / SSL pentru a cripta comunicarea dintre componentele Mongod și Mongo ale unui client MongoDB, precum și între toate aplicațiile și MongoDB.

Folosind MongoDB Enterprise 3.2, criptarea nativă a motorului de stocare WiredTiger poate fi configurată pentru a cripta datele din memorie strat. Dacă nu utilizați criptarea WiredTiger în repaus, datele MongoDB trebuie să fie criptate pe fiecare gazdă utilizând sistemul de fișiere, dispozitivul sau criptarea fizică.

1. Limita de expunere a rețelei

Pentru a limita expunerea în rețea asigurați-vă că MongoDB rulează într-o rețea de încredere mediu inconjurator. Administratorii trebuie să permită numai clienților de încredere să acceseze interfețele de rețea și porturile pe care sunt disponibile instanțele MongoDB.

Backup your data

1. Managerul MongoDB Cloud Manager și Managerul MongoDB Ops oferă backup continuu cu recuperare în timp și utilizatorii pot activa alertele în Managerul Cloud pentru a detecta dacă expunerea lor este expusă pe internet

Activitatea sistemului de audit

1. Sistemele de audit periodic vă vor asigura că sunteți conștient de modificările neregulate ale bazei dvs. de date. Urmăriți accesul la configurațiile și datele bazei de date. MongoDB Enterprise include o facilitate de audit a sistemului care poate înregistra evenimente de sistem pe o instanță MongoDB.

Rulați MongoDB cu un utilizator dedicat

1. Rulați procesele MongoDB cu un cont de utilizator dedicat sistemului de operare. Asigurați-vă că contul are permisiuni de acces la date, dar nu are permisiuni inutile.

Executați MongoDB cu opțiuni de configurare sigură

1. MongoDB acceptă executarea codului JavaScript pentru anumite operații de pe server: MapReduce, group și $ where. Dacă nu utilizați aceste operațiuni, dezactivați scripting-ul de pe server utilizând opțiunea -scripting din linia de comandă.

Utilizați numai protocolul de fir MongoDB pentru implementările de producție. Păstrați validarea de intrare activată. MongoDB permite validarea intrărilor în mod prestabilit prin setarea wireObjectCheck. Acest lucru asigură că toate documentele stocate de instanța mongod sunt valabile BSON.

1. Solicitați un ghid de implementare tehnică a securității (unde este cazul)

Ghidul de implementare tehnică a securității (STIG) conține instrucțiuni de securitate pentru implementări în cadrul Departamentului Apărării al Statelor Unite. MongoDB Inc. furnizează STIG, la cerere, pentru situațiile în care este necesar. Puteți solicita o copie pentru mai multe informații.

Luați în considerare respectarea standardelor de siguranță

1. Pentru aplicații care necesită respectarea HIPAA sau PCI-DSS, consultați Arhitectura de referință pentru securitate MongoDB

aici

1. pentru a afla mai multe despre cum poate utiliza capabilitățile cheie de securitate pentru a construi o infrastructură de aplicații compatibilă.

Cum să aflați dacă instalarea dvs. MongoDB este hacked Verificați bazele de date și colecțiile. De obicei, hackerii abandonează bazele de date și colecțiile și le înlocuiesc cu unul nou, în timp ce solicită o răscumpărare pentru originalul Dacă controlul accesului este activat, auditați jurnalele de sistem pentru a afla dacă încercările de acces neautorizat sau activitatea suspecte. Căutați comenzi care au scos datele, au modificat utilizatorii sau au creat înregistrarea cererii de răscumpărare.

Rețineți că nu există nicio garanție că datele dvs. vor fi returnate chiar și după ce ați plătit răscumpărarea. Prin urmare, post-atac, prima dvs. prioritate ar trebui să fie securizarea cluster-ului dvs. pentru a preveni accesul neautorizat ulterior.

• Dacă faceți copii de rezervă, atunci când restaurați cea mai recentă versiune, puteți evalua datele care s-au schimbat de la cea mai recentă copie de rezervă și timpul atacului. Pentru mai mult, puteți vizita
• mongodb.com