MongoDB Security: Sikre og beskyt MongoDB-databasen fra Ransomware

Ransomware ramte for nylig nogle usikrede MongoDB-installationer og holdt dataene til løsepenge. Her vil vi se, hvad der er MongoDB , og tag et kig på nogle skridt, du kan tage for at sikre og beskytte MongoDB-databasen. I starten er der en kort introduktion til MongoDB.

Hvad er MongoDB

MongoDB er en open source database, der lagrer data ved hjælp af en fleksibel dokumentdata model. MongoDB adskiller sig fra traditionelle databaser, der er bygget ved hjælp af tabeller og rækker, mens MongoDB bruger en arkitektur af samlinger og dokumenter.

Efter et dynamisk skema design giver MongoDB dokumenterne i en samling mulighed for at have forskellige felter og strukturer. Databasen bruger et dokumentlager og dataudvekslingsformat kaldet BSON, som giver en binær repræsentation af JSON-lignende dokumenter. Dette gør dataintegration til bestemte typer applikationer hurtigere og nemmere.

Ransomware angriber MongoDB-data

For nylig har en sikkerhedsforsker Victor Gevers tweeted, at der var en række Ransomware-angreb på dårligt sikrede MongoDB-installationer. Angrebene startede i december sidste år omkring jul 2016 og har siden smittet tusindvis af MongoDB-servere.

Victor opdagede i første omgang 200 MongoDB-installationer, som blev angrebet og holdt for løsepenge. Imidlertid steg de inficerede installationer hurtigt til 2000 DB`er som rapporteret af en anden sikkerhedsforsker, Shodan-grundlæggeren John Matherly, og ved udgangen af ​​1 ^st i 2017 var antallet af de kompromitterede systemer mere end 27.000.

Ransom krævede

Indledende rapporter foreslog, at angriberne krævede 0,2 bitcoins (ca. US $ 184) som løsepenge, som blev betalt af 22 ofre. I øjeblikket har angriberne øget løsningsbeløbet og kræver nu 1 Bitcoin (ca. 906 USD).

Siden offentliggørelsen har sikkerhedsforskerne identificeret mere end 15 hackere involveret i kapring af MongoDB-servere. Blandt dem har en angriber, der anvender e-mail-håndtag kraken0, kompromitteret mere end 15.482 MongoDB-servere og kræver 1 Bitcoin for at returnere de tabte data.

Hidtil har hijackede MongoDB-servere vokset over 28.000, da flere hackere også gør det samme - adgang til, kopiering og sletning af dårligt konfigurerede databaser til Ransom. Derudover er Kraken, en gruppe, der tidligere har været involveret i distributionen af ​​Windows Ransomware, også blevet med.

Hvordan går MongoDB Ransomware i

MongoDB-servere, som er tilgængelige via internettet uden adgangskode, dem, der er målrettet af hackerne. Derfor blev serveradministratorer, der valgte at køre deres servere uden en adgangskode og ansat standardbrugernavne let opdaget af hackerne.

Hvad er værre, der er forekomster af den samme server at være genbrudt af forskellige hackergrupper , der har erstattet eksisterende løsepenge med deres egne, hvilket gør det umuligt for ofrene at vide, om de selv betaler den rigtige kriminelle, endsige, om deres data kan genvindes. Derfor er der ingen sikkerhed, om nogen af ​​de stjålne data vil blive returneret. Selvom du har betalt løsepenge, kan dine data stadig være væk.

MongoDB-sikkerhed

Det er et must, at serveradministratorer skal tildele en stærk adgangskode og brugernavn for at få adgang til databasen. Virksomheder, der bruger standardinstallationen af ​​MongoDB, anbefales også at opdatere deres software , oprette godkendelse og låse ned port 27017 , som har været mest målrettet af hackerne.

Skridt til beskyt dine MongoDB-data

1. Enforce Adgangskontrol og -autentificering

Start ved Aktivering af adgangskontrol af din server og angive godkendelsesmekanismen. Autentificering kræver, at alle brugere giver gyldige legitimationsoplysninger, før de kan oprette forbindelse til serveren.

Den seneste MongoDB 3.4 -udgivelse gør det muligt at konfigurere godkendelse til et ubeskyttet system uden at pådrage nedetid.

1. Opsætning Rolebaseret Adgangskontrol

Opret roller, der ikke kun giver fuld adgang til et sæt brugere. Definer den nøjagtige adgang til et sæt af brugernes behov. Følg et princip om mindst privilegium. Derefter oprette brugere og tildele dem kun de roller, de har brug for til at udføre deres operationer.

1. Krypter kommunikation

Krypterede data er vanskelige at fortolke, og ikke mange hackere kan dekryptere det med succes. Konfigurer MongoDB til at bruge TLS / SSL til alle indgående og udgående forbindelser. Brug TLS / SSL til at kryptere kommunikationen mellem mongod og mongos-komponenter i en MongoDB-klient samt mellem alle applikationer og MongoDB.

Med MongoDB Enterprise 3.2 kan WiredTiger-lagringsmotorens native kryptering på resten konfigureres til at kryptere data i lageret lag. Hvis du ikke bruger WiredTiger-kryptering i hvile, skal MongoDB-data krypteres på hver vært ved hjælp af filsystem, enhed eller fysisk kryptering.

1. Begræns netværkseksponering

For at begrænse netværkets eksponering skal du sikre, at MongoDB kører i et pålideligt netværk miljø. Admins skal tillade kun betroede klienter at få adgang til de netværksgrænseflader og porte, som MongoDB-forekomster er tilgængelige på.

1. Sikkerhedskopier dine data

MongoDB Cloud Manager og MongoDB Ops Manager giver kontinuerlig backup med punkt i tidsgendannelse, og brugere kan aktivere advarsler i Cloud Manager for at opdage, om deres implementering er udsat for internet

1. Auditsystemaktivitet

Revisionssystemer vil med jævne mellemrum sikre, at du er opmærksom på uregelmæssige ændringer i din database. Spor adgang til database konfigurationer og data. MongoDB Enterprise indeholder et systemrevisionsfacilitet, der kan registrere systemhændelser i en MongoDB-instans.

1. Kør MongoDB med en dedikeret bruger

Kør MongoDB-processer med en dedikeret operativsystembrugerkonto. Sørg for, at kontoen har tilladelser til adgang til data, men ikke unødvendige tilladelser.

1. Kør MongoDB med sikre konfigurationsindstillinger

MongoDB understøtter udførelsen af ​​JavaScript-kode til bestemte server-sideoperationer: mapReduce, group and $ where. Hvis du ikke bruger disse operationer, skal du deaktivere server-side scripting ved at bruge -noscripting-funktionen på kommandolinjen.

Brug kun MongoDB-trådprotokollen på produktionsudbredelser. Fortsæt input validering aktiveret. MongoDB muliggør input validering som standard via wireObjectCheck indstillingen. Dette sikrer, at alle dokumenter, der er gemt af mongod-forekomsten, er gyldige BSON.

1. Anmod om en sikkerhedshåndbog for teknisk implementering (hvis relevant)

Sikkerhedshåndbog for teknisk implementering (STIG) indeholder sikkerhedsretningslinjer for implementeringer inden for De Forenede Staters Forsvarsdepartement. MongoDB Inc. leverer sin STIG, efter anmodning, til situationer, hvor det er påkrævet. Du kan anmode om en kopi for at få yderligere oplysninger.

1. Overvej sikkerhedsstandarder Overholdelse

For applikationer, der kræver HIPAA- eller PCI-DSS-overensstemmelse, henvises der til MongoDB Security Reference Architecture her for at lære mere om, hvordan du kan bruge de vigtigste sikkerhedsfunktioner til at opbygge kompatibel applikationsinfrastruktur.

Sådan finder du ud af, om din MongoDB-installation er hacket

• Bekræft dine databaser og samlinger. Hackerne slipper normalt databaser og samlinger og erstatter dem med en ny, mens de kræver et løsepenge for den oprindelige
• Hvis adgangskontrollen er aktiveret, skal du kontrollere systemlogfilerne for at finde ud af uautoriserede adgangsforsøg eller mistænkelig aktivitet. Se efter kommandoer, der har tabt dine data, ændrede brugere eller oprettet løsningen for efterspørgsel.

Bemærk, at der ikke er garanti for, at dine data vil blive returneret, selv efter at du har betalt løsepenge. Derfor bør din første prioritet sikre din klynge (r) for at forhindre yderligere uautoriseret adgang.

Hvis du tager sikkerhedskopier, kan du på det tidspunkt, hvor du gendanner den seneste version, vurdere, hvilke data der måske er ændret siden den seneste backup og tidspunktet for angrebet. For mere kan du besøge mongodb.com .