Ransomware slo nylig noen usikrede MongoDB installasjoner og holdt dataene til løsepenger. Her ser vi hva som er MongoDB og ta en titt på noen skritt du kan ta for å sikre og beskytte MongoDB-databasen. Til å begynne med, her er en kort introduksjon om MongoDB.
Hva er MongoDB
MongoDB er en åpen kildekode database som lagrer data ved hjelp av en fleksibel dokumentdata modell. MongoDB skiller seg fra tradisjonelle databaser som er bygget ved hjelp av tabeller og rader, mens MongoDB bruker en arkitektur av samlinger og dokumenter.
Etter en dynamisk skjemadesign lar MongoDB dokumentene i en samling ha forskjellige felt og strukturer. Databasen bruker et dokumentlagrings- og datautvekslingsformat kalt BSON, som gir en binær representasjon av JSON-lignende dokumenter. Dette gjør dataintegrasjonen for visse typer applikasjoner raskere og enklere.
Ransomware angriper MongoDB-data
Nylig Victor Gevers, en sikkerhetsforsker tweeted at det var en rekke Ransomware-angrep på dårlig sikrede MongoDB-installasjoner. Angrepene startet i desember i desember 2016 og har siden smittet tusenvis av MongoDB-servere.
Først oppdaget Victor 200 MongoDB installasjoner som ble angrepet og holdt for løsepenger. Men snart smittet installasjonen økte til 2000 DBs som rapportert av en annen sikkerhetsforsker, Shodan grunnlegger John Matherly, og ved slutten av 1st Uken i 2017 var antallet av de kompromitterte systemene mer enn 27.000.
Ransom krevde
Innledende rapporter foreslo at angriperne krevde 0,2 Bitcoins (ca US $ 184) som løsepris som ble betalt av 22 ofre. For tiden har angriperne økt løsesummen og krever nå 1 Bitcoin (ca 906 USD).
Siden avsløringen har sikkerhetsforskerne identifisert mer enn 15 hackere involvert i kapring av MongoDB-servere. Blant dem er en angriper som bruker e-posthåndtak kraken0 har kompromitterte mer enn 15.482 MongoDB-servere og krever 1 Bitcoin for å returnere de tapte dataene.
Hvordan sniker MongoDB Ransomware inn
MongoDB-servere som er tilgjengelige via internett uten passord har vært de som er målrettet av hackerne. Derfor serveradministratorer som valgte å kjøre sine servere uten et passord og ansatt standard brukernavn ble lett oppdaget av hackerne.
Hva er verre, det finnes forekomster av den samme serveren re-hacked av forskjellige hacker grupper som har erstattet eksisterende løsepenge med egne, noe som gjør det umulig for ofrene å vite om de selv betaler den riktige kriminelle, enn si om deres data kan gjenopprettes. Derfor er det ingen sikkerhet om noen av de stjålne dataene vil bli returnert. Derfor, selv om du betalte løsesummen, kan dataene dine fortsatt være borte.
MongoDB sikkerhet
Det er et must at serveradministratorer må tildele et sterkt passord og brukernavn for tilgang til databasen. Bedrifter som bruker standardinstallasjonen av MongoDB, anbefales også oppdater deres programvare, sett opp autentisering og lås ned port 27017 som har blitt mest målrettet av hackerne.
Fremgangsmåte for å beskytte dine MongoDB-data
Forbedre tilgangskontroll og godkjenning
Begynn med Aktiverer tilgangskontroll av serveren din og angi godkjenningsmekanismen. Godkjenning krever at alle brukere gir gyldig legitimasjon før de kan koble seg til serveren.
Det siste MongoDB 3.4 utgivelse gjør at du kan konfigurere godkjenning til et ubeskyttet system uten å oppstå nedetid.
Oppsett Rollbasert tilgangskontroll
I stedet for å gi full tilgang til et sett med brukere, opprett roller som definerer nøyaktig tilgang et sett med brukere trenger. Følg prinsippet om minst privilegium. Deretter oppretter brukere og tildeler dem bare rollene de trenger for å utføre sine operasjoner.
Krypter kommunikasjon
Krypterte data er vanskelig å tolke, og ikke mange hackere er i stand til å dekryptere det med hell. Konfigurer MongoDB til å bruke TLS / SSL for alle innkommende og utgående tilkoblinger. Bruk TLS / SSL til å kryptere kommunikasjon mellom mongod og mongos-komponenter i en MongoDB-klient, samt mellom alle applikasjoner og MongoDB.
Ved hjelp av MongoDB Enterprise 3.2 kan WiredTiger-lagringsmotorens innfødte kryptering på resten konfigureres for å kryptere data i lagringslaget. Hvis du ikke bruker WiredTiger-kryptering i hvile, bør MongoDB-data krypteres på hver vert ved hjelp av filsystem, enhet eller fysisk kryptering.
Begrens nettverks eksponering
For å begrense nettverkseksponeringen, sørg for at MongoDB kjører i et pålitelig nettverksmiljø. Admins bør tillate bare pålitelige klienter å få tilgang til nettverksgrensesnittene og -portene som MongoDB-forekomster er tilgjengelige for.
Sikkerhetskopier dataene dine
MongoDB Cloud Manager og MongoDB Ops Manager gir kontinuerlig sikkerhetskopiering med tidspunkt for gjenoppretting, og brukere kan aktivere varsler i Cloud Manager for å oppdage om deres distribusjon er internettet eksponert
Revisjonssystemaktivitet
Revisorsystemer vil med jevne mellomrom sikre at du er klar over uregelmessige endringer i databasen. Spor tilgang til databasekonfigurasjoner og data.MongoDB Enterprise inneholder et systemrevisjonsanlegg som kan registrere systemhendelser på en MongoDB-instans.
Kjør MongoDB med en dedikert bruker
Kjør MongoDB prosesser med en dedikert operativsystem brukerkonto. Kontroller at kontoen har tillatelser for tilgang til data, men ikke unødvendige tillatelser.
Kjør MongoDB med sikker konfigurasjonsalternativer
MongoDB støtter utførelse av JavaScript-kode for bestemte server-side operasjoner: mapReduce, group, and $ where. Hvis du ikke bruker disse operasjonene, må du deaktivere skriptet på server side ved å bruke alternativet -noscript på kommandolinjen.
Bruk bare MongoDB-trådprotokollen på produksjonsutplasseringer. Fortsett å aktivere inndata validering. MongoDB gjør det mulig å legge inn valideringen som standard via wireObjectCheck-innstillingen. Dette sikrer at alle dokumenter lagret av mongod-forekomsten er gyldige BSON.
Be om en teknisk veiledning for sikkerhet (hvis aktuelt)
Veiledningen for sikkerhetsteknisk implementering (STIG) inneholder sikkerhetsretningslinjer for distribusjoner i Forsvarets Forsvarsdepartement. MongoDB Inc. gir sin STIG, på forespørsel, for situasjoner der den er nødvendig. Du kan be om en kopi for mer informasjon.
Overhold sikkerhetsstandarder
For applikasjoner som krever HIPAA- eller PCI-DSS-samsvar, vennligst se MongoDB Security Reference Architecture her for å lære mer om hvordan du kan bruke de viktigste sikkerhetsfunksjonene for å bygge kompatibel applikasjonsinfrastruktur.
Hvordan finne ut om MongoDB-installasjonen din er hacket
- Bekreft databaser og samlinger. Hackerne slipper vanligvis databaser og samlinger og erstatter dem med en ny mens krever et løsepris for originalen
- Hvis tilgangskontroll er aktivert, må du kontrollere systemloggene for å finne ut for uautoriserte tilgangsprosjekter eller mistenkelig aktivitet. Se etter kommandoer som har slettet dataene dine, endrede brukere, eller opprettet ransom demand record.
Vær oppmerksom på at det ikke er noen garanti for at dataene dine vil bli returnert selv etter at du har betalt løsepenge. Derfor, etter angrepet, bør din første prioritet være å sikre din klynge (e) for å forhindre ytterligere uautorisert tilgang.
Hvis du tar sikkerhetskopier, kan du på det tidspunktet gjenopprette den nyeste versjonen, vurdere hvilke data som kan ha endret seg siden den siste sikkerhetskopien og tidspunktet for angrepet. For mer kan du besøke mongodb.com.
