Ransomware je nedavno pogodio neke unsecured MongoDB instalacije i zadržao podatke za otkupninu. Ovdje ćemo vidjeti što je MongoDB i pogledajte neke korake koje možete poduzeti kako biste osigurali i zaštitili bazu podataka MongoDB. Za početak, ovdje je kratak uvod o MongoDB-u.
Što je MongoDB
MongoDB je baza podataka otvorenog koda koja pohranjuje podatke pomoću fleksibilnog modela podataka o dokumentima. MongoDB razlikuje se od tradicionalnih baza podataka koje se grade pomoću tablica i redaka, dok MongoDB koristi arhitekturu zbirki i dokumenata.
Nakon dinamičnog dizajna sheme, MongoDB dopušta da zbirka dokumenata ima različita polja i strukture. Baza podataka koristi format pohrane dokumenata i razmjene podataka pod nazivom BSON, koji pruža binarnu prezentaciju dokumenata sličnih JSON-u. Time se brže i lakše integriraju podaci za određene vrste aplikacija.
Ransomware napada MongoDB podatke
Nedavno je Victor Gevers, sigurnosni istraživač tweetovao da postoji niz Ransomware napada na loše osigurane MongoDB instalacije. Napadi su započeli prošlog prosinca oko Božića 2016. i od tada su zaraženi tisućama MongoDB poslužitelja.
U početku, Victor je otkrio 200 instalacija MongoDB koje su napadnute i održane za otkupninu. Međutim, ubrzo su zaražene instalacije skočile na 2000 DB, kao što je izvijestio drugi istraživač sigurnosti, Shodan osnivač John Matherly, i do kraja 1st tjedan 2017. godine, broj ugroženih sustava bio je više od 27.000.
Tražio je Ransom
Prva izvješća sugeriraju da su napadači zahtijevali 0,2 Bitcoins (oko US $ 184) kao otkupninu koju je plaćao 22 žrtava. Trenutno, napadači su povećali iznos otkupnine i sada traže 1 Bitcoin (oko 906 USD).
Od otkrića sigurnosni istraživači identificirali su više od 15 hakera koji su bili uključeni u otmicu MongoDB poslužitelja. Među njima, napadač koji koristi ručicu e-pošte kraken0 ima Ugrožena je više od 15.482 MongoDB poslužitelja i traži 1 Bitcoin da vrati izgubljene podatke.
Kako se upada u MongoDB Ransomware
MongoDB poslužitelji koji su dostupni putem interneta bez lozinke, bili su oni koji su ciljani od strane hakera. Dakle, administratori poslužitelja koji su odabrali pokretanje poslužitelja bez lozinke i zaposleni zadana korisnička imena lako su otkrili hakeri.
Što je još gore, postoje slučajevi istog poslužitelja ponovno hakirani od strane raznih hakerskih skupina koji zamjenjuju postojeće otkupnine sa svojim vlastitim, čime žrtve ne mogu znati jesu li čak i plaćaju pravo na zločin, a kamoli da li se njihovi podaci mogu oporaviti. Dakle, nema izvjesnosti da li se bilo koji od ukradenih podataka vraća. Dakle, čak i ako ste platili otkupninu, vaši podaci možda i dalje nestanu.
MongoDB sigurnost
Potrebno je da administratori poslužitelja moraju dodijeliti snažnu lozinku i korisničko ime za pristup bazi podataka. Preporučuje se i tvrtka koja koristi zadanu instalaciju MongoDB-a ažurirati njihov softver, postavite autentifikaciju i zaključati ulazni priključak 27017 koja je najviše ciljana od hakera.
Koraci za zaštitu vaših podataka MongoDB
Provedite kontrolu pristupa i provjeru autentičnosti
Pokrenite Omogućite kontrolu pristupa vašeg poslužitelja i odredite mehanizam provjere autentičnosti. Provjera autentičnosti zahtijeva da svi korisnici dostave vjerodajnice prije nego što se mogu povezati s poslužiteljem.
Najnoviji MongoDB 3.4 oslobađanje omogućuje konfiguriranje autentičnosti na nezaštićeni sustav bez prekida rada.
Postavljanje kontrole pristupa uloga
Umjesto pružanja potpunog pristupa skupu korisnika, stvorite uloge koji definiraju točan pristup skupini korisnika. Slijedite načelo najmanje privilegije. Zatim stvorite korisnike i dodijelite ih samo ulogama koje su im potrebne za obavljanje njihovih poslova.
Šifriranje komunikacije
Šifrirani podaci teško je tumačiti, a mnogi hakeri ne mogu uspješno dešifrirati. Konfigurirajte MongoDB za korištenje TLS / SSL za sve dolazne i odlazne veze. Koristite TLS / SSL za šifriranje komunikacije između mongod i mongos komponenti MongoDB klijenta, kao i između svih aplikacija i MongoDB.
Korištenjem MongoDB Enterprise 3.2, WiredTigerov sustav za pohranu podataka izvorne enkripcije u mirovanju može se konfigurirati za šifriranje podataka u sloju za pohranu. Ako ne koristite WiredTiger šifriranje u mirovanju, MongoDB podaci trebaju biti šifrirani na svakom domaćinu koristeći sustav datoteka, uređaj ili fizički šifriranje.
Ograničite izloženost na mreži
Da biste ograničili izloženost mreži, uvjerite se da MongoDB radi u pouzdanom mrežnom okruženju. Administratori trebaju omogućiti samo pouzdanim klijentima pristup mrežnim sučeljima i portovima na kojima su dostupne MongoDB instance.
Izradite sigurnosnu kopiju podataka
MongoDB Cloud Manager i MongoDB Ops Manager pružaju neprekidnu sigurnosnu kopiju s točkom u vremenu oporavka, a korisnici mogu omogućiti upozorenja u Cloud Manageru da otkriju je li njihova implementacija izložena internetu
Aktivnost sustava revizije
Sustavi za reviziju povremeno će osigurati da ste svjesni bilo kakvih nepravilnih promjena u vašoj bazi podataka. Praćenje pristupa konfiguracijama baze podataka i podacima.MongoDB Enterprise uključuje sustav za reviziju sustava koji može snimati događaje sustava na primjeru MongoDB.
Pokrenite MongoDB s posvećenim korisnicima
Pokrenite MongoDB procese s posebnim korisničkim računom operacijskog sustava. Osigurajte da račun ima dozvole za pristup podacima, ali nema nepotrebnih dozvola.
Pokrenite MongoDB sa sigurnim konfiguracijskim mogućnostima
MongoDB podržava izvršavanje JavaScript koda za određene operacije na strani poslužitelja: mapReduce, group i $ gdje. Ako ne upotrebljavate ove operacije, onemogućite skriptiranje na strani poslužitelja pomoću opcije -crkanje na naredbenom retku.
Koristite samo MongoDB protokol žice na proizvodnim implementacijama. Omogućite provjeru unosa. MongoDB omogućuje provjeru unosa prema zadanim postavkama putem postavke wireObjectCheck. Time se osigurava da su svi dokumenti pohranjeni u primjeru mongod valjani BSON.
Zatražite Vodič za tehničku provedbu sigurnosti (gdje je primjenjivo)
Vodič za sigurnost tehničke implementacije (STIG) sadrži sigurnosne smjernice za implementaciju unutar Ministarstva obrane SAD-a. MongoDB Inc. svojim zahtjevom daje STIG, za situacije gdje je to potrebno. Za više informacija možete zatražiti kopiju.
Razmotrite usklađenost s sigurnosnim standardima
Za programe koji zahtijevaju usklađenost s HIPAA ili PCI-DSS, molimo vas da se obratite MongoDB sigurnosnoj referentnoj arhitekturi ovdje da biste saznali više o tome kako možete koristiti ključne sigurnosne mogućnosti za izgradnju kompatibilne aplikacijske infrastrukture.
Kako saznati je li vaša instalacija MongoDB sjeckana
- Potvrdite svoje baze podataka i zbirke. Hakeri obično ispuštaju baze podataka i zbirke i zamjenjuju ih novim dok traže otkupninu za izvornik
- Ako je omogućena kontrola pristupa, provjerite zapisnike sustava kako biste saznali za neovlaštene pokušaje pristupa ili sumnjivu aktivnost. Potražite naredbe koje su ispustile vaše podatke, izmijenjene korisnike ili stvorili rekord potražnje za otkupnine.
Imajte na umu da nema jamstva da će se vaši podaci vratiti čak i nakon što platite otkupninu. Stoga, nakon napada, vaš prvi prioritet treba osigurati svoje klastere kako bi spriječili neovlašteni pristup.
Ako uzmete sigurnosne kopije, tada u trenutku vraćanja najnovije verzije možete procijeniti koji su se podaci možda promijenili od najnovije sigurnosne kopije i vremena napada. Za više možete posjetiti mongodb.com.
