MongoDB Security: Sikre og beskytte MongoDB-databasen fra Ransomware

Ransomware slo nylig noen usikrede MongoDB-installasjoner og lagret dataene til løsepenger. Her ser vi hva som er MongoDB , og ta en titt på noen skritt du kan ta for å sikre og beskytte MongoDB-databasen. Til å begynne med, her er en kort introduksjon om MongoDB.

Hva er MongoDB?

MongoDB er en åpen kildekode database som lagrer data ved hjelp av en fleksibel dokumentmodell. MongoDB skiller seg fra tradisjonelle databaser som er bygget ved hjelp av tabeller og rader, mens MongoDB bruker en arkitektur av samlinger og dokumenter.

Etter en dynamisk skjemadesign lar MongoDB dokumentene i en samling ha forskjellige felt og strukturer. Databasen bruker et dokumentlagrings- og datautvekslingsformat kalt BSON, som gir en binær representasjon av JSON-lignende dokumenter. Dette gjør dataintegrasjon for visse typer applikasjoner raskere og enklere.

Ransomware angriper MongoDB-data

Nylig, Victor Gevers, en sikkerhetsforsker tweeted at det var en rekke Ransomware-angrep på dårlig sikrede MongoDB-installasjoner. Angrepene startet i desember i desember 2016 og har siden smittet tusenvis av MongoDB-servere.

Victor oppdaget i første omgang 200 MongoDB-installasjoner som ble angrepet og holdt for løsepenger. Imidlertid gikk de infiserte installasjonene raskt til 2000 DB, som rapportert av en annen sikkerhetsforsker, Shodan-grunnleggeren John Matherly, og ved slutten av 1/ ^st i 2017 var antallet av de kompromitterte systemene over 27 000.

Ransom krevde

Foreslåtte innledende rapporter, at angriperne krevde 0,2 Bitcoins (omtrent US $ 184) som løsepris som ble betalt av 22 ofre. For tiden har angriperne økt løsningsbeløpet og krever nå 1 Bitcoin (Ca 906 USD).

Siden offentliggjøring har sikkerhetsforskerne identifisert mer enn 15 hackere involvert i kapring av MongoDB-servere. En angriper som bruker e-posthåndtaket kraken0 har kompromittert mer enn 15,482 MongoDB-servere , og krever 1 Bitcoin for å returnere de tapte dataene.

Til nå har hijacked MongoDB-servere vokst over 28 000 som flere hackere gjør det samme - tilgang til, kopiering og sletting av dårlig konfigurerte databaser for Ransom. Videre har Kraken, en gruppe som tidligere har vært involvert i distribusjonen av Windows Ransomware, blitt med i.

Hvordan smoker MongoDB Ransomware i

MongoDB-servere som er tilgjengelige via internett uten passord, har vært de som er målrettet av hackerne. Derfor ble serveradministratorer som valgte å kjøre serverne sine uten et passord og ansatt standardbrukernavn lett oppdaget av hackerne.

Hva er verre, det er tilfeller av at den samme serveren er re-hacked av ulike hackergrupper som har erstattet eksisterende løsepenger med sine egne, noe som gjør det umulig for ofrene å vite om de selv betaler den riktige kriminelle, enn si om deres data kan gjenopprettes. Derfor er det ingen sikkerhet om noen av de stjålne dataene vil bli returnert. Derfor, selv om du betalte løsesummen, kan dataene dine fortsatt være borte.

MongoDB-sikkerhet

Det er et must at serveradministratorer må tildele et sterkt passord og brukernavn for tilgang til databasen. Bedrifter som bruker standardinstallasjonen av MongoDB, anbefales også å oppdatere programvaren , sette opp autentisering og låse ned port 27017 som har blitt mest målrettet av hackerne.

Fremgangsmåte for å beskytte MongoDB-dataene dine

1. Enforce Access Control og Authentication

Start av Aktiverer tilgangskontroll av serveren din og angir godkjenningsmekanismen. Godkjenning krever at alle brukere oppgir gyldige legitimasjonsinformasjon før de kan koble seg til serveren.

Den nyeste versjonen MongoDB 3.4 gir deg muligheten til å konfigurere godkjenning til et ubeskyttet system uten å opprette nedetid.

1. Oppsett Rolebasert tilgangskontroll

I stedet for å gi full tilgang til et sett brukere, lager roller som definer nøyaktig tilgang et sett med brukernes behov. Følg prinsippet om minst privilegium. Deretter oppretter brukere og gir dem bare de rollene de trenger for å utføre sine operasjoner.

1. Krypter kommunikasjon

Krypterte data er vanskelig å tolke, og ikke mange hackere kan dekryptere det med hell. Konfigurer MongoDB til å bruke TLS / SSL for alle innkommende og utgående tilkoblinger. Bruk TLS / SSL til å kryptere kommunikasjon mellom mongod og mongos-komponenter i en MongoDB-klient, samt mellom alle applikasjoner og MongoDB.

Ved hjelp av MongoDB Enterprise 3.2 kan WiredTiger-lagringsmotorens native kryptering på resten konfigureres for å kryptere data i lagringsplassen lag. Hvis du ikke bruker WiredTiger-kryptering i hvile, bør MongoDB-data krypteres på hver vert ved hjelp av filsystem, enhet eller fysisk kryptering.

1. Grense nettverks eksponering

For å begrense nettverkseksponering sikrer at MongoDB kjører i et pålitelig nettverk miljø. Admins bør tillate kun pålitelige klienter å få tilgang til nettverksgrensesnittene og -portene som MongoDB-forekomster er tilgjengelig for.

1. Sikkerhetskopier dataene dine

MongoDB Cloud Manager og MongoDB Ops Manager gir kontinuerlig sikkerhetskopiering med tidspunkt for gjenoppretting, og brukere kan aktivere varsler i Cloud Manager for å oppdage om deres distribusjon er utsatt for Internett

1. Revisjonssystemaktivitet

Revisorsystemer vil med jevne mellomrom sikre at du er klar over uregelmessige endringer i databasen. Spor tilgang til databasekonfigurasjoner og data. MongoDB Enterprise inneholder et systemrevisjonsanlegg som kan registrere systemhendelser på en MongoDB-forekomst.

1. Kjør MongoDB med en dedikert bruker

Kjør MongoDB prosesser med en dedikert operativsystem brukerkonto. Sørg for at kontoen har tillatelser for å få tilgang til data, men ikke unødvendige tillatelser.

1. Kjør MongoDB med sikre konfigurasjonsalternativer

MongoDB støtter utføring av JavaScript-kode for bestemte server-sideoperasjoner: mapReduce, group, and $ where. Hvis du ikke bruker disse operasjonene, må du deaktivere server-side scripting ved å bruke alternativet -noscripting på kommandolinjen.

Bruk bare MongoDB-trådprotokollen på produksjonsutplasseringer. Fortsett å aktivere inndata validering. MongoDB gjør det mulig å legge inn valideringen som standard via wireObjectCheck-innstillingen. Dette sikrer at alle dokumenter som er lagret av mongod-forekomsten, er gyldige BSON.

1. Be om en sikkerhets teknisk implementeringsveiledning (når det er aktuelt)

Veiledningen for sikkerhetsteknisk implementering (STIG) inneholder sikkerhetsretningslinjer for distribusjoner i Forsvarets Forsvarsdepartement. MongoDB Inc. gir sin STIG, på forespørsel, for situasjoner der den er nødvendig. Du kan be om en kopi for mer informasjon.

1. Overvåk sikkerhetsstandarder

For applikasjoner som krever HIPAA- eller PCI-DSS-samsvar, vennligst se MongoDB Security Reference Architecture her for å lære mer om hvordan du kan bruke de viktigste sikkerhetsfunksjonene for å bygge kompatibel applikasjonsinfrastruktur.

Hvordan finne ut om MongoDB-installasjonen din er hacket

• Bekreft databaser og samlinger. Hackerne slipper vanligvis databaser og samlinger og erstatter dem med en ny samtidig som de krever et løsepenger for den opprinnelige
• Hvis tilgangskontrollen er aktivert, må du kontrollere systemloggene for å finne ut for uautoriserte tilgangsprosjekter eller mistenkelig aktivitet. Se etter kommandoer som har slettet dataene dine, endret brukere eller opprettet ransom-etterspørselsrekorden.

Merk at det ikke er noen garanti for at dataene dine blir returnert selv etter at du har betalt løsesummen. Derfor bør du først sikre at klyngen din (for å forhindre uautorisert tilgang) er i første rekke.

Hvis du tar sikkerhetskopier, kan du på det tidspunktet du gjenoppretter den nyeste versjonen, vurdere hvilke data som kan ha endret seg siden den nyeste sikkerhetskopien og tidspunktet for angrepet. For mer kan du besøke mongodb.com .