Ransomware hiljattain löi joitain vakuudettomia MongoDB-asennuksia ja säilytti tiedot lunastukseen. Täältä näemme, mikä on MongoDB ja tutustu muutamiin toimenpiteisiin, jotka voit tehdä MongoDB-tietokannan suojaamiseksi ja suojaamiseksi. Ensinnäkin tässä on lyhyt esittely MongoDB: stä.
Mikä on MongoDB
MongoDB on avoimen lähdekoodin tietokanta, joka tallentaa tietoja joustavalla dokumenttidatamallilla. MongoDB eroaa perinteisistä tietokannoista, jotka on rakennettu taulukkojen ja rivien avulla, kun taas MongoDB käyttää kokoelmien ja asiakirjojen arkkitehtuuria.
Dynaamisen kaavamallin jälkeen MongoDB sallii kokoelmissa olevien asiakirjojen olevan erilaisia kenttiä ja rakenteita. Tietokanta käyttää dokumentin tallennus- ja tiedonsiirtoformaattia nimeltä BSON, joka tarjoaa JSON: n kaltaisten asiakirjojen binäärikuvan. Tämä helpottaa tietojen integrointia tietyille sovellusmuodoille.
Ransomware hyökkää MongoDB-dataa
Viime aikoina tietoturva-tutkija Victor Gevers twitterti, että Ransomware-hyökkäyksissä oli joukko huonosti suojattuja MongoDB-asennuksia. Hyökkäykset alkoivat viime joulukuuhun joulun 2016 ympäri ja ovat sittemmin infektoineet tuhansia MongoDB-palvelimia.
Alun perin Victor löysi 200 MongoDB-laitosta, joita hyökkäsi ja pidettiin lunnaina. Pian kuitenkin infektoituneet laitokset nousivat 2000 DB: hen, kuten toisen turvallisuustutkijan, Shodanin perustajan John Matherlyn, ja 1st viikolla 2017, vaarantuneiden järjestelmien määrä oli yli 27 000.
Ransom vaati
Ensimmäiset raportit ehdottivat, että hyökkääjät vaativat 0,2: n Bitcoinsia (noin US $ 184) lunnaina, jonka maksettiin 22 uhria. Tällä hetkellä hyökkääjät ovat nostaneet lunnaita ja vaativat nyt 1 Bitcoin (noin 906 dollaria).
Turvallisuustutkijat ovat ilmoittaneet paljastavansa yli 15 hakkeria, jotka osallistuvat MongoDB-palvelinten kaappaamiseen. Heistä hyökkääjä käyttää sähköpostin käsitellä kraken0 on vaarantui yli 15 482 MongoDB-palvelinta ja vaatii 1 Bitcoin palauttamaan kadonneet tiedot.
Miten MongoDB Ransomware hiipuu sisään
MongoDB-palvelimia, jotka ovat Internetin kautta ilman salasanaa, ovat olleet niitä, jotka ovat hakkereiden kohteena. Näin ollen palvelinvalvojat, jotka valitsivat palvelinten suorittamisen ilman salasanaa ja työntekijöitä oletuksena käyttäjätunnukset hakkerit havaitsivat sen helposti.
Mikä pahempaa, samat palvelimen esiintymät ovat hakkerointiryhmät hakkasivat uudelleen jotka ovat korvanneet olemassa olevia lunnaita muistiinpanoja omillaan, mikä tekee uhrien mahdottomaksi tietää, maksavatko he jopa oikean rikollisen, tai puhumattakaan siitä, voiko heidän tietojaan saada takaisin. Siksi ei ole varmuutta, jos jokin varastetuista tiedoista palautetaan. Näin ollen, vaikka maksat lunnaita, tietosi voivat silti olla poissa.
MongoDB-tietoturva
Palvelimen ylläpitäjien on annettava vahva salasana ja käyttäjänimi tietokantaan pääsemiseksi. Yrityksiä, jotka käyttävät MongoDB: n oletusasennusta, on myös suositeltavaa päivittää ohjelmistonsa, määritä todennus ja lukitse portti 27017 joka on kohdennettu eniten hakkereilta.
Vaiheet suojaamaan MongoDB-tietoja
Vaadi käyttöoikeuden valvonta ja todentaminen
Käynnistä Ota käyttöön palveluntarjoajan käyttöoikeuksien hallinta ja määritä todentamismekanismi. Todennus edellyttää, että kaikki käyttäjät antavat kelvolliset kirjautumistiedot ennen kuin he voivat muodostaa yhteyden palvelimeen.
Viimeisin MongoDB 3.4 Voit määrittää autentikoinnin suojaamattomalle järjestelmälle ilman seisokkeja.
Asennuksen roolipohjainen käyttöoikeuksien hallinta
Sen sijaan, että annettaisiin täydellinen käyttöoikeus käyttäjäryhmään, luodaan rooleja, jotka määrittävät käyttäjien tarkan pääsyn käyttäjien tarpeisiin. Seuraa vähiten etuoikeuden periaatetta. Luo käyttäjät sitten ja anna heille vain ne tehtävät, joita he tarvitsevat suorittaakseen toimintansa.
Salaa viestintä
Salattuja tietoja on vaikea tulkita, eivätkä monet hakkereet pysty purkamaan sitä onnistuneesti. Määritä MongoDB käyttää TLS / SSL: tä kaikkiin tuleviin ja lähteviin yhteyksiin. Käytä TLS / SSL-salausta MongoDB-asiakkaan mongod- ja mongos-komponenttien välisen tiedonsiirron sekä kaikkien sovellusten ja MongoDB: n välillä.
MongoDB Enterprise 3.2: n avulla WiredTiger-tallennusmomentin omaperäinen salaus Rest voidaan konfiguroida salaamaan tiedot tallennuskerroksessa. Jos et käytä WiredTigerin salausta levossa, MongoDB-tiedot on salattava jokaiselle isännälle tiedostojärjestelmän, laitteen tai fyysisen salauksen avulla.
Rajoita verkon valotusta
Verkon valotuksen rajoittamiseksi varmistetaan, että MongoDB toimii luotetussa verkkoympäristössä. Järjestelmänvalvojien pitäisi sallia vain luotettavat asiakkaat pääsemään verkkoyhteyksiin ja portteihin, joihin MongoDB-tapaukset ovat käytettävissä.
Varmuuskopioi tietosi
MongoDB Cloud Manager ja MongoDB Ops Manager tarjoavat jatkuvaa varmuuskopiointia ajan palautushetkellä ja käyttäjät voivat ottaa Cloud Managerin ilmoituksia havaitsemaan, onko niiden käyttöönotto alttiina Internetiin
Tilintarkastusjärjestelmän toiminta
Tilintarkastusjärjestelmät säännöllisesti varmistavat, että olet tietoinen tietokannastasi tapahtuneista epäsäännöllisistä muutoksista. Seuraa pääsyä tietokantarakenteisiin ja tietoihin.MongoDB Enterprise -ohjelma sisältää järjestelmänvalvontalaitteen, joka voi tallentaa järjestelmätapahtumia MongoDB-esiintymään.
Suorita MongoDB: n omistettu käyttäjä
Suorita MongoDB: n prosesseja omalla käyttöjärjestelmällä. Varmista, että tilillä on käyttöoikeudet, mutta ei tarpeettomia käyttöoikeuksia.
Suorita MongoDB Secure Configuration Options -ohjelmalla
MongoDB tukee JavaScript-koodin suorittamista tietyille palvelinpuolen toiminnoille: mapReduce, group, and $ where. Jos et käytä näitä toimintoja, poista palvelinpuolen komentosarjat käytöstä käyttämällä komentorivillä olevaa -noscripting-vaihtoehtoa.
Käytä vain MongoDB-lankaprotokollaa tuotantovaiheissa. Säilytä tulosvahvistus käytössä. MongoDB mahdollistaa syötteen validoinnin oletusarvoisesti wireObjectCheck-asetuksella. Näin varmistetaan, että kaikki mongod-instanssin tallentamat dokumentit ovat päteviä BSON.
Pyydä turvallisuuden teknistä toteutusta koskeva opas (tarvittaessa)
Turvallisuuden tekninen toteutusopas (STIG) sisältää Yhdysvaltain puolustusministeriön osastojen käyttöönottoa koskevia turvallisuusohjeita. MongoDB Inc. antaa STIG: lle pyynnöstä tilanteita, joissa sitä vaaditaan. Voit pyytää kopion lisätietoja.
Harkitse turvallisuusstandardien noudattamista
Jos tarvitset HIPAA- tai PCI-DSS-yhteensopivuutta, tutustu MongoDB Security Reference Architecture -ohjelmaan tässä lisätietoja siitä, miten voit käyttää tärkeimpiä turvallisuusominaisuuksia vaatimustenmukaisen sovellusinfrastruktuurin luomiseksi.
Kuinka selvittää, onko MongoDB-asennuksesi hakkeroitu
- Tarkista tietokannat ja kokoelmat. Hakkerit pudottavat yleensä tietokantoja ja kokoelmia ja korvaavat ne uudella samalla, kun vaativat lunnaita alkuperäiseltä
- Jos kulunvalvonta on käytössä, tarkista järjestelmän lokit selvittämään luvattomat yhteysyritykset tai epäilyttävät toiminnot. Etsi komentoja, jotka ovat hylänneet tietosi, muokattuja käyttäjiä tai luoneet lunastuspyyntitietueen.
Huomaa, että ei ole takeita siitä, että tietosi palautetaan, vaikka olet lunastanut lunastuksen. Tästä seuraa, että hyökkäys hyökkäyksen jälkeen on ensisijaisen tärkeä varmistaa klustereidesi estäminen luvattoman käytön estämiseksi.
Jos otat varmuuskopioita, sen jälkeen kun viimeisin versio on palautettu, voit arvioida, mitkä tiedot ovat muuttuneet viimeisimmän varmuuskopion ja hyökkäyksen ajan jälkeen. Lisää voit käydä mongodb.com.
