Ransomware nedávno zasiahla niektoré nezabezpečené inštalácie MongoDB a uchovávala údaje na výkupné. Tu uvidíme, čo je MongoDB a pozrite sa na niektoré kroky, ktoré môžete použiť na zabezpečenie a ochranu databázy MongoDB. Najskôr je stručný návod o MongoDB.
Čo je to MongoDB
MongoDB je open source databáza, ktorá ukladá dáta pomocou flexibilného dátového modelu dokumentov. MongoDB sa líši od tradičných databáz, ktoré sú vytvorené pomocou tabuliek a riadkov, zatiaľ čo MongoDB používa architektúru zbierok a dokumentov.
Po dynamickom návrhu schémy MongoDB umožňuje, aby dokumenty v kolekcii mali rôzne polia a štruktúry. Databáza používa formát ukladania dokumentov a formát výmeny údajov nazývaný BSON, ktorý poskytuje binárne zobrazenie dokumentov typu JSON. To umožňuje rýchlejšiu a jednoduchšiu integráciu dát pre určité typy aplikácií.
Ransomware útoky MongoDB dáta
Nedávno výskumný pracovník bezpečnostnej siete Victor Gevers tweeted, že existuje reťazec útokov Ransomware na zle zaistené inštalácie MongoDB. Útoky začali v decembri minulého roka okolo Vianoc 2016 a odvtedy infikovali tisíce serverov MongoDB.
Spočiatku Victor zistil 200 zariadení MongoDB, ktoré boli napadnuté a držané za výkupné. Čoskoro však infikované zariadenia narástli na 2000 DB, ako to uvádza iný bezpečnostný výskumník, zakladateľ Shodan John Matherly, a do konca roka 1st v roku 2017 bol počet napadnutých systémov vyšší ako 27 000.
Ransom požadoval
Počiatočné správy naznačovali, že útočníci vyžadovali 0,2 výnosu (približne 184 dolárov) ako výkupné, ktoré zaplatili 22 obetí. Útočníci v súčasnosti zvýšili výkupné a teraz požadujú 1 Bitcoin (približne 906 USD).
Odkedy objavili bezpečnostní pracovníci, identifikovali viac ako 15 hackerov, ktorí sa podieľali na únosoch serverov MongoDB. Medzi nimi je útočník, ktorý používa e-mailovú správu kraken0 má ohrozilo viac ako 15 482 serverov MongoDB a vyžaduje 1 Bitcoin, aby vrátil stratené údaje.
Ako preniká MongoDB Ransomware?
Servery MongoDB, ktoré sú prístupné cez internet bez hesla, sú tie, ktoré sú hackeri zamerané. Preto správcovia serverov, ktorí sa rozhodli spustiť svoje servery bez hesla a zamestnaní predvolené používateľské mená boli hackermi ľahko spozorované.
Čo je horšie, existujú prípady toho istého servera re-hacked rôzne hacker skupiny ktorí nahrádzajú existujúce výkupné listy s vlastnými, a preto obete nemôžu vedieť, či dokonca platia správneho zločinu, natož aby ich údaje mohli byť obnovené. Preto nie je isté, či sa niektorá z ukradnutých údajov vráti. Preto aj napriek tomu, že ste zaplatili výkupné, vaše údaje môžu byť stále preč.
Bezpečnosť MongoDB
Správca serverov musí priradiť silné heslo a používateľské meno pre prístup k databáze. Spoločnostiam, ktoré používajú predvolenú inštaláciu MongoDB, sa tiež odporúča aktualizovať softvérnastavte autentifikáciu a uzamknúť port 27017 ktorá bola hackermi najviac zameraná.
Kroky na ochranu údajov MongoDB
Vykonajte kontrolu prístupu a overovanie
Začnite tým, že povolíte kontrolu prístupu vášho servera a špecifikujete mechanizmus autentifikácie. Overenie vyžaduje, aby všetci používatelia poskytli platné poverenia skôr, ako sa môžu pripojiť na server.
Posledný MongoDB 3.4 verzia umožňuje konfigurovať autentifikáciu na nechránený systém bez vzniku prestojov.
Nastavenie riadenia prístupu na základe rolí
Namiesto poskytovania úplného prístupu k súboru používateľov vytvorte roly, ktoré definujú presný prístup k súboru potrieb používateľov. Dodržujte princíp najmenej privilégií. Potom vytvorte používateľov a priraďte im len roly, ktoré potrebujú na vykonanie svojich operácií.
Šifrovanie komunikácie
Šifrované dáta sa ťažko interpretujú a nie je mnoho hackerov schopných ju úspešne dešifrovať. Konfigurácia aplikácie MongoDB na používanie protokolu TLS / SSL pre všetky prichádzajúce a odchádzajúce pripojenia. Použite TLS / SSL na šifrovanie komunikácie medzi komponentami Mongod a Mongos klienta MongoDB, ako aj medzi všetkými aplikáciami a MongoDB.
Pomocou aplikácie MongoDB Enterprise 3.2 môže byť nativné šifrovanie na počítači v režime WiredTiger nakonfigurované tak, aby šifrovalo údaje v vrstve ukladacieho priestoru. Ak nepoužívate šifrovanie WiredTiger v pokoji, údaje MongoDB by mali byť zašifrované na každom hostiteľovi pomocou súborového systému, zariadenia alebo fyzického šifrovania.
Limitné vystavenie siete
Ak chcete obmedziť vystavenie v sieti, uistite sa, že služba MongoDB beží v dôveryhodnom sieťovom prostredí. Správcovia by mali povoliť prístup k sieťovým rozhraniam a portom, na ktorých sú k dispozícii inštancie MongoDB, len dôveryhodným klientom.
Zálohujte svoje údaje
MongoDB Cloud Manager a MongoDB Ops Manager poskytujú nepretržité zálohovanie s bodovým zotavením a používatelia môžu povoliť upozornenia v aplikácii Cloud Manager, aby zistili, či ich nasadenie je vystavené na internete
Aktivita systému auditu
Audítorské systémy pravidelne zabezpečia, že ste si vedomí akýchkoľvek nepravidelných zmien v databáze. Sledovať prístup k databázovým konfiguráciám a údajom.MongoDB Enterprise zahŕňa zariadenie na kontrolu systému, ktoré môže zaznamenávať udalosti systému na inštancii MongoDB.
Spustite MongoDB s vyhradeným používateľom
Spustite procesy MongoDB pomocou používateľského účtu určeného pre operačný systém. Uistite sa, že účet má povolenia na prístup k údajom, ale žiadne zbytočné povolenia.
Spustite program MongoDB s možnosťami zabezpečenia konfigurácie
MongoDB podporuje vykonávanie kódu JavaScript pre určité operácie na strane servera: mapReduce, group a $ where. Ak tieto operácie nepoužívate, zakažte skriptovanie na strane servera pomocou príkazu -scripting na príkazovom riadku.
Pri výrobných nasadeniach používajte iba vodičový protokol MongoDB. Majte povolené overovanie vstupu. Služba MongoDB umožňuje predvolené nastavenie vstupov prostredníctvom nastavenia wireObjectCheck. To zaručuje, že všetky dokumenty uložené v inštancii Mongod sú platné BSON.
Požiadajte o príručku technickej implementácie bezpečnosti (ak je to možné)
Príručka technickej implementácie zabezpečenia (STIG) obsahuje bezpečnostné pokyny pre nasadenia v rámci Ministerstva obrany USA. Spoločnosť MongoDB Inc. poskytuje na požiadanie STIG situácie, kedy je to potrebné. Ďalšie informácie môžete požiadať o kópiu.
Zvážte zhodu s normami bezpečnosti
Pre aplikácie, ktoré vyžadujú súlad s HIPAA alebo PCI-DSS, nájdete v MongoDB Security Reference Architecture tu aby ste sa dozvedeli viac o tom, ako môžete využiť kľúčové bezpečnostné možnosti na vybudovanie kompatibilnej aplikačnej infraštruktúry.
Ako zistiť, či je vaša inštalácia MongoDB napadnutá
- Overte svoje databázy a zbierky. Hackeri zvyčajne ukladajú databázy a zbierky a nahradia ich novým, pričom požadujú výkupné za originál
- Ak je povolená kontrola prístupu, vykonajte audit systémových denníkov, aby ste zistili, či nedošlo k neoprávneným pokusom o prístup alebo k podozrivej aktivite. Vyhľadajte príkazy, ktoré klesli vaše dáta, zmenili používateľov alebo vytvorili záznam o požiadavke na výkupné.
Berte na vedomie, že neexistuje záruka, že vaše údaje budú vrátené aj po zaplatení výkupného. Preto po útoku by vašou prvou prioritou malo byť zabezpečenie vášho klastra, aby sa zabránilo ďalšiemu neoprávnenému prístupu.
Ak budete mať zálohy, potom v čase, keď obnovíte najnovšiu verziu, môžete vyhodnotiť, ktoré údaje sa mohli zmeniť od poslednej zálohy a času útoku. Viac informácií môžete navštíviť mongodb.com.
