Ransomware hiljuti tabas mõned tagamata MongoDB rajatised ja pidas andmed lunaraha. Siin näeme, mis on MongoDB ja tutvuge MongoDB andmebaasi turvalisuse ja kaitse tagamiseks võetavate sammudega. Alustuseks on siin MongoDB-i lühikirjeldus.
Mis on MongoDB?
MongoDB on avatud lähtekoodiga andmebaas, mis salvestab andmeid paindliku dokumendiandmete mudeli abil. MongoDB erineb traditsioonilistest andmebaasidest, mis on ehitatud tabelite ja ridade abil, samas kui MongoDB kasutab kogude ja dokumentide arhitektuuri.
Dünaamilise skeemi kujunduse järgi võimaldab MongoDB kogumikohastel dokumentidel erinevaid välju ja struktuure. Andmebaas kasutab dokumentide säilitamise ja andmevahetuse vormi nimega BSON, mis pakub JSON-tüüpi dokumentide kahendkuvarit. See muudab teatud tüüpi rakenduste andmete integreerimise kiiremaks ja lihtsamaks.
Ransomware ründab MongoDB andmeid
Hiljuti turvalisuse uurija Victor Gevers tweeted, et Ransomware rünnakute hulk on halvasti turvatud MongoDBi rajatiste jaoks. Eelmise aasta detsembris käisid rünnakud umbes 2016. aasta jõulude ajal ja on sellest ajast alates nakatanud tuhandeid MongoDB-servereid.
Alguses avastas Victor 200 MongoDB rajatist, mida ründati ja hoiti lunaraha eest. Kuid varsti nakatunud rajatised kasvasid 2000 andmebaasi, nagu teatas mõni muu julgeolekualane teadur Shodani asutaja John Matherly ja 1. aprilli lõpuksst 2017. aasta nädala jooksul oli ohustatud süsteemide arv üle 27 000.
Ransom nõudis
Esialgsetes aruannetes pakuti välja, et ründajad nõudsid 0,2 bikkiini (ligikaudu 184 USA dollarit) lunaraha eest, mille eest maksis 22 ohvrit. Praegu on ründajad suurendanud lunaraha ja nõuavad nüüd 1 bitcoini (ligikaudu 906 USD).
Pärast avalikustamist on turvateadlased tuvastanud MongoDB-serverite kaaperdamisega seotud rohkem kui 15 häkkerit. Nende seas on ründaja, kes kasutab e-posti aadressi kraken0 on ohustasid rohkem kui 15 482 MongoDB-serverit ja nõuab 1 Bitcoinilt kadunud andmete tagastamist.
Kuidas MongoDB Ransomware varitseb
MongoDB-serverid, mis on interneti kaudu kättesaadavad ilma paroolita, on need, keda häkkerid sihivad. Seega serveri administraatorid, kes valisid oma serverid käivitada ilma paroolita ja töötav vaikimisi kasutajanimed olid häkkerid kergesti märjaks saanud.
Veelgi hullem on olemas sama serveri esinemisjuhtumid taas häkkinud erinevad häkkerirühmad kes on asendanud olemasolevad lukustusmärke omadega, muutes ohvrite jaoks võimatuks teada, kas nad isegi maksavad õiget kurjategijat, rääkimata sellest, kas nende andmeid saab taastada. Seetõttu ei ole kindel, kui varastatud andmed tagastatakse. Seega, isegi kui olete välja maksnud lunaraha, võivad teie andmed siiski olla kadunud.
MongoDB turvalisus
Serveri administraatorid peavad määrama tugeva parooli ja kasutajanime andmebaasi pääsemiseks. Ettevõtetele, kes kasutavad MongoDBi vaikemoodustust, soovitatakse ka värskendage oma tarkvara, seadistage autentimine ja lukustage port 27017 mida häkkerid kõige rohkem sihivad.
MongoDB-andmete kaitseks vajalikud sammud
Juurdepääsu kontroll ja autentimine
Alustuseks lubage oma serveri juurdepääsukontroll ja määrake autentimismehhanism. Autentimine nõuab, et kõik kasutajad esitaksid kehtivad mandaadid enne, kui nad saavad serveriga ühenduse luua.
Viimane MongoDB 3.4 vabastamine võimaldab seadistada autentimist kaitsmata süsteemile ilma seisakuid tekitamata.
Installige rollipõhine juurdepääsukontroll
Selle asemel, et pakkuda täielikku juurdepääsu kasutajatele, looge ülesanded, mis määravad täpse juurdepääsu kasutaja vajaduste kogumile. Järgige vähimõiguse põhimõtet. Seejärel looge kasutajad ja määrake neile ainult need ülesanded, mida nad oma toimingute tegemiseks vajavad.
Kriitiline suhtlus
Krüptitud andmeid on raske tõlgendada, kuid paljud häkkerid ei suuda seda dekrüpteerida edukalt. MongoDB-i seadistamine kõigi sissetulevate ja väljaminevate ühenduste jaoks TLS / SSLi kasutamiseks.Kasutage TLS / SSL-i, et krüptida MongoDB-i kliendi mongod-i ja mongose komponentide vaheline suhtlus, samuti kõigi rakenduste ja MongoDB-i vahel.
Kasutades MongoDB Enterprise 3.2, on WiredTigeri salvestusmootori kohalik krüpteerimine Restil saab konfigureerida andmete krüptimiseks salvestuskihis. Kui te ei kasuta WiredTiger'i krüpteerimist puhkusel, tuleb MongoDB-andmed krüpteerida igal hostil, kasutades failisüsteemi, seadet või füüsilist krüptimist.
Piirata võrgu kokkupuudet
Võrgu piirangute tagamiseks veenduge, et MongoDB töötab usaldusväärses võrgukeskkonnas. Administraatorid peaksid lubama ainult usaldusväärsetel klientidel juurdepääsu võrgu liidestele ja portidele, millel MongoDB eksemplarid on kättesaadavad.
Varundage oma andmed
MongoDB Cloud Manager ja MongoDB Opsihaldur pakuvad pidevat taastevahetust, et taastada aeg, ja kasutajad saavad lubada Cloud Manager'is olevaid hoiatusi, et tuvastada, kas nende kasutuselevõtt on Internet
Auditi süsteemi tegevus
Auditeerimissüsteemid tagavad regulaarselt, et olete teadlik andmebaasi ebakorrektsetest muudatustest. Jälgige juurdepääsu andmebaasi konfiguratsioonidele ja andmetele. MongoDB Enterprise sisaldab süsteemi auditeerimise võimalust, mis saab salvestada süsteemi sündmusi MongoDB eksemplaris.
Käivitage MongoDB spetsiaalse kasutajaga
Käivitage MongoDB protsessid pühendatud operatsioonisüsteemi kasutajakontoga. Veenduge, et kontol oleks juurdepääs andmetele, kuid mitte ebavajalikke õigusi.
Käivitage MongoDB koos turvaliste konfigureerimisvalikutega
MongoDB toetab JavaScripti koodi täitmist teatud serveripoolsete operatsioonide jaoks: mapReduce, rühma ja $ kus. Kui te neid toiminguid ei kasuta, lülitage serveripoolsed skriptid välja, kasutades käsurealt käsu -noscripting.
Kasutage tootmises kasutatavaid ainult MongoDBi juhtprotokolle. Sisendi valideerimine on lubatud. MongoDB võimaldab sisestatud valideerimist vaikimisi läbi seadistuse wireObjectCheck. See tagab, et kõik dokumendid, mida mongodin eksemplaris salvestavad, on kehtivad BSON.
Taotluse turvalisuse tehnilise juhendi (vajaduse korral) kohta
Turvalisuse tehnilise rakenduse juhend (STIG) sisaldab turvameetmeid Ameerika Ühendriikide kaitseministeeriumi lähetuste jaoks. MongoDB Inc pakub STIG-i taotluse korral olukorras, kus seda nõutakse. Lisateabe saamiseks võite paluda koopiat.
Kaaluge turvalisuse standardite vastavust
Rakenduste puhul, mis vajavad HIPAA või PCI-DSS nõuetele vastavust, vaadake palun MongoDBi turbealuste arhitektuuri siin et saada lisateavet selle kohta, kuidas saate kasutada olulisi turbevõimalusi nõuetele vastava rakenduste infrastruktuuri loomiseks.
Kuidas teada saada, kas teie MongoDB-i install on häkkinud?
- Kinnitage oma andmebaasid ja kogud. Häkkerid tõmbavad tavaliselt andmebaasid ja kogud ning asendavad need uuega, nõudes algse lunaraha väljaandmist
- Kui juurdepääsukontroll on lubatud, kontrollige süsteemi logisid, et teada saada volitamata juurdepääsu katsed või kahtlased tegevused. Otsige käske, mis langesid teie andmed, muudetud kasutajad või loonud rentimise nõudmiste rekordi.
Pange tähele, et ei ole mingit garantiid, et teie andmed tagastatakse ka siis, kui olete lunaraha maksnud. Seega, teie postitus rünnak, peaks teie esmaseks prioriteediks olema teie klastri (te) kaitsmine, et vältida edasist volitamata juurdepääsu.
Kui kasutate varukoopiaid, siis saate värskeima versiooni taastamise ajal hinnata, millised andmed võivad olla viimaste varundamiste ja rünnaku aja pärast muutunud. Veelgi enam võite külastada mongodb.com.
