MongoDB Security: Zabezpečení a ochrana databáze MongoDB z Ransomware

Ransomware nedávno udeřil některé nezabezpečené instalace MongoDB a zadržel údaje za výkupné. Zde uvidíme, co je MongoDB a podívejte se na některé kroky, které můžete podniknout k zajištění a ochraně databáze MongoDB. Za prvé, je zde stručný úvod o MongoDB.

Co je to MongoDB

MongoDB je open source databáze, která ukládá data pomocí flexibilního datového modelu dokumentů. MongoDB se liší od tradičních databází, které jsou postaveny pomocí tabulek a řádků, zatímco MongoDB používá architekturu sbírek a dokumentů.

Podle dynamického schématu MongoDB umožňuje, aby dokumenty v kolekci měly různé pole a struktury. Databáze používá formát pro ukládání a výměnu dat nazvaný BSON, který poskytuje binární reprezentaci dokumentů typu JSON. Díky tomu je integrace dat pro určité typy aplikací rychlejší a snazší.

Ransomware napadá data MongoDB

Nedávno výzkumný pracovník pro bezpečnostní služby Victor Gevers tweeted, že existuje řada útoků Ransomware na špatně zabezpečených instalacích MongoDB. Útoky začaly v prosinci minulého prosince kolem Vánoc 2016 a od té doby infikovaly tisíce serverů MongoDB.

V minulosti Victor objevil 200 instalací MongoDB, které byly napadeny a drženy za výkupné. Brzy však infikované instalace vzrostly na 2000 DB, jak uvádí jiný bezpečnostní badatel, zakladatel Shodan John Matherly, a do konce 1 ^{týdne <209> roku 2017 počet ohrožených systémů byl více než 27 000.} Ransom požadoval

Počáteční zprávy naznačovaly, že útočníci požadovali 0.2 Bitcoins (přibližně 184 USD) jako výkupné, které zaplatili 22 obětí. V současné době útočníci zvýšili výkupné a nyní požadují 1 Bitcoin (přibližně 906 USD).

Od zveřejnění zjistili badatelé bezpečnosti více než 15 hackerů, kteří se podíleli na únosu serverů MongoDB. Mezi nimi útočník, který používal e-mailovou adresu

kraken0 má více než 15.482 serverů MongoDB a vyžaduje 1 Bitcoin, aby vrátil ztracená data. více než 28 000, protože další hackeři dělají totéž - přístup, kopírování a mazání špatně nakonfigurovaných databází pro společnost Ransom. Kromě toho se připojil i Kraken, skupina, která se dříve zapojila do distribuce Windows Ransomware. Jak se MongoDB Ransomware plíží

servery MongoDB, které jsou přístupné přes internet bez hesla, byly ty, které jsou hackery zaměřeny. Správci serverů, kteří se rozhodli pro spuštění svých serverů

bez hesla

a zaměstnávaných výchozích uživatelských jmen , byli hackeři snadno zaznamenáni. Co je horší, existují instance stejného serveru znovu hackovaní různými hackerskými skupinami, kteří nahradili existující výkupné poznámky vlastními, což znemožňuje obětem vědět, zda dokonce platí správného zločince, natož aby se jejich údaje mohly obnovit. Proto není jistota, zda bude vrácena některá ukradená data. Protože i když jste zaplatili výkupné, vaše data mohou být stále pryč. Bezpečnost MongoDB Je nutné, aby administrátoři serveru přiřadili silné heslo a uživatelské jméno pro přístup k databázi. Společnostem, které používají výchozí instalaci MongoDB, se také doporučuje

aktualizovat svůj software

, nastavit autentizaci a uzamknout port 27017 , který byl hackery nejvíce zacílen. ochrana dat MongoDB Vynucení řízení přístupu a ověřování Začněte povolením řízení přístupu k serveru a zadáním mechanismu ověřování. Ověřování vyžaduje, aby všichni uživatelé poskytli platná pověření, než se mohou připojit k serveru.

Nejnovější verze

1. MongoDB 3.4

umožňuje konfigurovat autentizaci na nechráněný systém bez výpadků.

Nastavení řízení přístupu založené na rolích Spíše než poskytovat plný přístup k souboru uživatelů, definovat přesný přístup sadu potřeb uživatelů. Dodržujte zásadu nejméně privilegií. Pak vytvořte uživatele a přiřaďte jim pouze role, které potřebují k výkonu svých operací. Šifrování komunikace

1. Šifrované údaje se těžko interpretují a mnoho hackerů je schopno je úspěšně dešifrovat. Nakonfigurujte službu MongoDB pro použití protokolu TLS / SSL pro všechna příchozí a odchozí připojení. Použijte protokol TLS / SSL pro šifrování komunikace mezi komponenty Mongod a Mongos klienta MongoDB, stejně jako mezi všemi aplikacemi a MongoDB.

Použitím MongoDB Enterprise 3.2 lze nativní šifrování WiredTiger ukládacího zařízení nakonfigurovat tak, aby zašifrovalo data v úložišti vrstva. Pokud nepoužíváte šifrování WiredTiger v klidu, data MongoDB by měla být šifrována na každém hostiteli pomocí systému souborů, zařízení nebo fyzického šifrování.

1. Limit Network Exposure

Chcete-li omezit síťovou expozici, ujistěte se, že MongoDB běží v důvěryhodné síti životní prostředí. Správci by měli povolit přístup pouze k důvěryhodným klientům síťových rozhraní a portů, na kterých jsou k dispozici instance MongoDB.

Zálohování dat

1. MongoDB Cloud Manager a MongoDB Ops Manager poskytují nepřetržitou zálohu s okamžitou obnovou a uživatelé mohou povolit výstrahy ve službě Cloud Manager, aby zjistili, zda je jejich nasazení vystaveno internetu

Aktivita systému auditu

1. Auditorské systémy pravidelně zajistí, že jste si vědomi nepravidelných změn v databázi. Sledujte přístup k databázovým konfiguracím a datům. MongoDB Enterprise obsahuje zařízení pro audit systému, které může zaznamenávat události systému na instanci MongoDB.

Spustit MongoDB s vyhrazeným uživatelem

1. Spustit procesy MongoDB pomocí uživatelského účtu vyhrazeného operačního systému. Ujistěte se, že účet má oprávnění k přístupu k datům, ale žádné zbytečné oprávnění.

Spusťte MongoDB se zabezpečenými možnostmi konfigurace

1. MongoDB podporuje provádění kódu JavaScript pro určité operace na straně serveru: mapReduce, group a $ where. Pokud tyto operace nepoužíváte, zakažte skriptování na straně serveru pomocí příkazu -scripting na příkazovém řádku.

Použijte pouze protokol MongoDB na výrobních aplikacích. Je povoleno ověření vstupu. MongoDB standardně umožňuje ověření vstupu pomocí nastavení wireObjectCheck. Tím zajistíte, že všechny dokumenty uložené instancí mongodu jsou platné BSON.

1. Požádejte bezpečnostní technickou implementační příručku (případně)

Bezpečnostní technická implementační příručka (STIG) obsahuje bezpečnostní pokyny pro nasazení v rámci Ministerstva obrany Spojených států. Společnost MongoDB Inc. poskytuje na své žádosti STIG situace, kdy je to nutné. Více informací můžete požádat o kopii

Zohledněte shodu s bezpečnostními standardy

1. Pro aplikace vyžadující shodu s HIPAA nebo PCI-DSS se obraťte na MongoDB Security Reference Architecture

zde

1. . můžete použít klíčové bezpečnostní schopnosti pro vytvoření kompatibilní aplikační infrastruktury

Jak zjistit, zda je instalace MongoDB napadena Ověřte své databáze a sbírky. Hackeři zpravidla propouštějí databáze a sbírky a nahrazují je novým, zatímco požadují výkupné za původní Pokud je povoleno řízení přístupu, prověřte systémové protokoly, abyste zjistili, zda nedošlo k neoprávněným pokusům o přístup nebo k podezřelé činnosti. Podívejte se na příkazy, které upustily od vašich dat, změnily uživatele nebo vytvořily požadavek na výkup výkupného.

Uvědomte si, že neexistuje záruka, že vaše data budou vrácena i poté, co jste zaplatili výkupné. Proto, po útoku by měla být vaší první prioritou zabezpečení vašeho clusteru, aby se zabránilo dalšímu neoprávněnému přístupu.

• Pokud provedete zálohy, pak v okamžiku, kdy obnovíte nejnovější verzi, můžete vyhodnotit, jaké údaje se mohly změnit od poslední záloha a čas útoku. Další informace můžete navštívit
• mongodb.com