MongoDB Безопасность: защитить и защитить базу данных MongoDB от Ransomware

Ransomware недавно ударила некоторые незащищенные установки MongoDB и провела данные для выкупа. Здесь мы увидим, что такое MongoDB , и рассмотрим некоторые шаги, которые вы можете предпринять для защиты и защиты базы данных MongoDB. Начнем с того, что здесь представлено краткое введение в MongoDB.

Что такое MongoDB

MongoDB - это база данных с открытым исходным кодом, которая хранит данные с использованием гибкой модели данных документа. MongoDB отличается от традиционных баз данных, которые создаются с использованием таблиц и строк, тогда как MongoDB использует архитектуру коллекций и документов.

В соответствии с графическим дизайном MongoDB позволяет документам в коллекции иметь разные поля и структуры. База данных использует формат хранения документов и обмена данными, называемый BSON, который предоставляет двоичное представление JSON-подобных документов. Это ускоряет и упрощает интеграцию данных для определенных типов приложений.

Ransomware атакует данные MongoDB

Недавно Виктор Геверс, исследователь безопасности, написал в твиттере, что существует целая серия Ransomware-атак на плохо защищенные установки MongoDB. Атаки начались в декабре прошлого года вокруг Рождества 2016 года и с тех пор заразили тысячи серверов MongoDB.

Вначале Виктор обнаружил 200 установок MongoDB, которые были атакованы и удерживались для выкупа. Однако вскоре зараженные установки взлетели до 2000 БД, как сообщил другой исследователь по безопасности, основатель Shodan Джон Матерли, и к концу 1 ^ст недели 2017 года число скомпрометированных систем составило более 27 000.

Выкуп требовал

. Первоначальные сообщения предполагали, что злоумышленники требовали 0,2 биткойнов (приблизительно 184 доллара США) в качестве выкупа, которые были выплачены 22 жертвами. В настоящее время злоумышленники увеличили сумму выкупа и теперь требуют 1 биткойн (около 906 долларов США).

После раскрытия информации исследователи безопасности обнаружили более 15 хакеров, участвующих в захвате серверов MongoDB. Среди них злоумышленник, использующий почтовый дескриптор kraken0, имеет скомпрометировал более 15 482 сервера MongoDB и требует 1 биткойн для возврата потерянных данных.

До сих пор захваченные серверы MongoDB выросли более 28 000, поскольку все больше хакеров также делают то же самое - доступ, копирование и удаление плохо настроенных баз данных для Ransom. Кроме того, Крэкен, группа, ранее участвовавшая в распространении Windows Ransomware, тоже присоединилась.

Как MongoDB Ransomware скрывается в

серверах MongoDB, которые доступны через Интернет без пароля, были которые нацелены на хакеров. Следовательно, администраторы сервера, которые решили запускать свои серверы без пароля и использовали имена пользователей по умолчанию , были легко обнаружены хакерами.

Что еще хуже, есть экземпляры того же самого сервера повторно взломали разные группы хакеров , которые заменяли существующие записи выкупа собственными, что делает невозможным для жертв узнать, платит ли они даже преступник, не говоря уже о том, могут ли их данные быть восстановлены. Поэтому нет уверенности в том, что какой-либо из украденных данных будет возвращен. Следовательно, даже если вы заплатили выкуп, ваши данные все равно могут исчезнуть.

Безопасность MongoDB

Необходимо, чтобы администраторы сервера должны назначить надежный пароль и имя пользователя для доступа к базе данных. Компании, использующие установку MongoDB по умолчанию, также советуют обновить свое программное обеспечение , настроить аутентификацию и заблокировать порт 27017 , который больше всего был нацелен хакерами.

Шаги к защитите данные MongoDB

1. Обеспечьте контроль доступа и аутентификацию

В начало, Включив управление доступом к серверу и укажите механизм проверки подлинности. Аутентификация требует, чтобы все пользователи предоставили действительные учетные данные, прежде чем они смогут подключиться к серверу.

Последняя версия MongoDB 3.4 позволяет настраивать аутентификацию в незащищенной системе без ущерба для времени простоя.

1. Настройка контроля доступа на основе ролей

Вместо предоставления полного доступа к набору пользователей создайте роли, которые определить точный доступ к набору потребностей пользователей. Следуйте принципу наименьших привилегий. Затем создайте пользователей и назначьте им только те роли, которые им необходимы для выполнения своих операций.

1. Encrypt Communication

Зашифрованные данные трудно интерпретировать, и не многие хакеры могут успешно его расшифровать. Настройте MongoDB на использование TLS / SSL для всех входящих и исходящих подключений. Используйте TLS / SSL для шифрования связи между компонентами mongod и mongos клиента MongoDB, а также между всеми приложениями и MongoDB.

Используя MongoDB Enterprise 3.2, собственный механизм шифрования WiredTiger в Encrypt at Rest может быть настроен для шифрования данных в хранилище слой. Если вы не используете шифрование WiredTiger в покое, данные MongoDB должны быть зашифрованы на каждом хосте с использованием файловой системы, устройства или физического шифрования.

1. Ограничение сетевой экспозиции

Ограничение сетевой экспозиции гарантирует, что MongoDB работает в надежной сети Окружающая среда. Администраторы должны разрешать только доверенным клиентам доступ к сетевым интерфейсам и портам, на которых доступны экземпляры MongoDB.

1. Резервное копирование данных

MongoDB Cloud Manager и MongoDB Ops Manager обеспечивают непрерывное резервное копирование с моментальным восстановлением времени, а пользователи могут включать оповещения в Cloud Manager, чтобы определить, распространяется ли их развертывание в Интернете.

1. Деятельность системы аудита

Периодические проверки систем аудита гарантируют, что вы будете знать о любых нерегулярных изменениях в вашей базе данных. Отслеживайте доступ к конфигурациям и данным базы данных. MongoDB Enterprise включает средство аудита системы, которое может записывать системные события на экземпляр MongoDB.

1. Запуск MongoDB с выделенным пользователем

Запуск процессов MongoDB со специальной учетной записью пользователя операционной системы. Убедитесь, что у учетной записи есть разрешения на доступ к данным, но нет лишних разрешений.

1. Запуск MongoDB с настройками безопасной конфигурации

MongoDB поддерживает выполнение кода JavaScript для определенных операций на стороне сервера: mapReduce, group и $ where. Если вы не используете эти операции, отключите скрипты на стороне сервера, используя опцию -noscripting в командной строке.

Используйте только проводной протокол MongoDB для производственных развертываний. Включите проверку ввода. MongoDB позволяет проверять входные данные по умолчанию с помощью настройки wireObjectCheck. Это гарантирует, что все документы, хранящиеся экземпляром mongod, являются действительными BSON.

1. Запросить руководство по технической поддержке безопасности (где применимо)

Руководство по технической поддержке безопасности (STIG) содержит рекомендации по безопасности для развертываний в Министерстве обороны Соединенных Штатов, MongoDB Inc. предоставляет свой STIG по запросу для ситуаций, когда это необходимо. Вы можете запросить копию для получения дополнительной информации.

1. Рассмотрите соответствие стандартов безопасности

Для приложений, требующих соответствия требованиям HIPAA или PCI-DSS, обратитесь к Архитектурной справочной системе MongoDB здесь , чтобы узнать больше о том, как вы может использовать ключевые функции безопасности для создания совместимой инфраструктуры приложений.

Как узнать, взломана ли ваша установка MongoDB

• Проверьте свои базы данных и коллекции. Хакеры обычно отбрасывают базы данных и коллекции и заменяют их на новый, требуя выкупа для оригинала
• Если управление доступом включено, проверьте системные журналы, чтобы узнать о попытках неавторизованного доступа или подозрительной активности. Ищите команды, которые бросили ваши данные, изменили пользователей или создали запись о требовании выкупа.

Обратите внимание, что нет гарантии, что ваши данные будут возвращены даже после того, как вы заплатили выкуп. Следовательно, пост-атака, ваш первый приоритет должен обеспечивать защиту вашего кластера (ов), чтобы предотвратить дальнейший несанкционированный доступ.

Если вы берете резервные копии, то в момент восстановления последней версии вы можете оценить, какие данные могли быть изменены с тех пор самую последнюю резервную копию и время атаки. Более того, вы можете посетить mongodb.com .