MongoDB Security: Selamat dan melindungi pangkalan data MongoDB dari Ransomware

Ransomware baru-baru ini menyerang beberapa pemasangan MongoDB yang tidak bercagar dan memegang data untuk tebusan. Di sini kita akan melihat apa yang MongoDB dan melihat beberapa langkah yang anda boleh ambil untuk menjamin dan melindungi pangkalan data MongoDB. Untuk permulaan, inilah pengenalan ringkas tentang MongoDB.

Apa itu MongoDB

MongoDB ialah pangkalan data sumber terbuka yang menyimpan data menggunakan model data dokumen yang fleksibel. MongoDB berbeza dari pangkalan data tradisional yang dibina menggunakan jadual dan baris, sedangkan MongoDB menggunakan arsitektur koleksi dan dokumen.

Mengikuti reka bentuk skema yang dinamik, MongoDB membenarkan dokumen-dokumen dalam koleksi mempunyai bidang dan struktur yang berbeza. Pangkalan data menggunakan format simpan dokumen dan pertukaran data yang dipanggil BSON, yang menyediakan perwakilan binari dokumen seperti JSON.

Ransomware menyerang data MongoDB

Baru-baru ini, Victor Gevers, seorang penyelidik keselamatan mencatatkan bahawa ada rentetan serangan Ransomware pada pemasangan MongoDB yang tidak selamat. Serangan itu bermula Disember lalu sekitar Krismas 2016 dan sejak itu menjangkiti ribuan pelayan MongoDB.

Pada mulanya, Victor menemui 200 pemasangan MongoDB yang diserang dan dipegang untuk tebusan. Walau bagaimanapun, tidak lama lagi pemasangan yang dijangkiti melonjak kepada 2000 DBs seperti yang dilaporkan oleh penyelidik keselamatan yang lain, Pengasas Shodan John Matherly, dan pada penghujung 1 ^st minggu tahun 2017, bilangan sistem yang dikompromikan adalah lebih daripada 27,000.

Ransom menuntut

Laporan awal mencadangkan, penyerang menuntut 0.2 Bitcoins (Lebih kurang AS $ 184) sebagai wang tebusan yang dibayar oleh 22 mangsa. Pada masa ini, penyerang telah meningkatkan jumlah wang tebusan dan kini menuntut 1 Bitcoin (Approx 906 USD).

Sejak pendedahan itu, penyelidik keselamatan mengenal pasti lebih daripada 15 penggodam yang terlibat dalam merampas pelayan MongoDB. Antaranya, penyerang yang menggunakan e-mel kraken0 telah telah menjejaskan lebih daripada 15,482 pelayan MongoDB dan menuntut 1 Bitcoin untuk mengembalikan data yang hilang.

Hingga kini, Lebih 28,000 lagi penggodam juga melakukan hal yang sama - mengakses, menyalin dan memadamkan pangkalan data yang dikonfigurasi dengan tidak baik untuk Ransom. Selain itu, Kraken, sebuah kumpulan yang sebelum ini terlibat dalam pengedaran Windows Ransomware, turut bergabung.

Bagaimana cara MongoDB Ransomware menyelinap di

MongoDB server yang dapat diakses melalui internet tanpa kata laluan yang telah menjadi orang yang disasarkan oleh penggodam. Oleh itu, Pentadbir Server yang memilih untuk menjalankan pelayan mereka tanpa kata laluan dan menggunakan nama pengguna lalai dengan mudah dijumpai oleh penggodam.

ditangkap semula oleh kumpulan penggodam yang berlainan yang telah menggantikan nota tebusan sedia ada dengan mereka sendiri, menjadikannya mustahil bagi mangsa untuk mengetahui sama ada mereka juga membayar penjenayah yang betul, apalagi sama ada data mereka dapat dipulihkan. Oleh itu, tidak ada kepastian jika mana-mana data yang dicuri akan dikembalikan. Oleh itu, walaupun anda membayar tebusan, data anda mungkin masih hilang.

Keamanan MongoDB

Adalah mustahak bahawa Pentadbir Pelayan mesti menetapkan kata laluan dan nama pengguna yang kuat untuk mengakses pangkalan data. Syarikat yang menggunakan pemasangan lalai MongoDB juga dinasihatkan supaya mengemas kini perisian mereka , sediakan pengesahan dan mengunci port 27017 yang telah disasarkan paling banyak oleh penggodam.

Langkah-langkah untuk melindungi data MongoDB anda

1. Menguatkan Kawalan Akses dan Pengesahan

Mula dengan Mengaktifkan kawalan akses pelayan anda dan tentukan mekanisme pengesahan. Pengesahan memerlukan semua pengguna memberikan kelayakan sah sebelum mereka boleh menyambung ke pelayan

Pelancaran MongoDB 3.4 terkini membolehkan anda mengkonfigurasi pengesahan ke sistem yang tidak dilindungi tanpa menimbulkan downtime.

1. Setup Kawalan Akses Berdasarkan Peranan

Daripada menyediakan akses penuh ke satu set pengguna, buat peranan yang tentukan akses tepat satu set keperluan pengguna. Ikuti prinsip kekurangan keistimewaan. Kemudian buat pengguna dan tentukan mereka hanya peranan yang mereka perlukan untuk melaksanakan operasi mereka.

1. Encrypt Communication

Data yang disulitkan adalah sukar untuk mentafsir, dan tidak ramai penggodam dapat mendekripsinya dengan jayanya. Konfigurasikan MongoDB untuk menggunakan TLS / SSL untuk semua sambungan masuk dan keluar. Gunakan TLS / SSL untuk menyulitkan komunikasi antara komponen mongod dan mongos dari pelanggan MongoDB dan juga antara semua aplikasi dan MongoDB.

Menggunakan MongoDB Enterprise 3.2, Enkripsi asal enjin penyimpanan WiredTiger di Rest boleh dikonfigurasi untuk menyulitkan data dalam storan lapisan. Jika anda tidak menggunakan penyulitan WiredTiger berehat, data MongoDB perlu disulitkan pada setiap hos menggunakan sistem fail, peranti atau penyulitan fizikal.

1. Pendedahan Rangkaian Had

Untuk Had Pendedahan rangkaian memastikan bahawa MongoDB berjalan dalam rangkaian yang dipercayai persekitaran.

1. Backup data anda

MongoDB Cloud Manager dan MongoDB Ops Manager menyediakan sandaran berterusan dengan titik dalam pemulihan masa, dan pengguna dapat mengizinkan lansiran di Cloud Manager untuk mengesan jika penggunaannya adalah terdedah kepada internet

1. Aktiviti Sistem Audit

Sistem pengauditan secara berkala akan memastikan bahawa anda mengetahui sebarang perubahan yang tidak teratur pada pangkalan data anda. Jejaki akses kepada konfigurasi pangkalan data dan data. MongoDB Enterprise termasuk kemudahan pengauditan sistem yang boleh merakam peristiwa sistem pada contoh MongoDB.

1. Run MongoDB dengan Pengguna Dedicated

Run MongoDB proses dengan akaun pengguna sistem operasi khusus. Pastikan bahawa akaun mempunyai keizinan untuk mengakses data tetapi tiada keizinan yang tidak perlu.

1. Run MongoDB dengan Pilihan Konfigurasi Selamat

MongoDB menyokong pelaksanaan kod JavaScript untuk operasi sisi pelayan tertentu: mapReduce, group, dan $ where. Jika anda tidak menggunakan operasi ini, nyahdayakan skrip sisi pelayan dengan menggunakan pilihan -noskrip pada baris arahan.

Gunakan hanya protokol kawat MongoDB pada penyebaran pengeluaran. Pastikan pengesahan input diaktifkan. MongoDB membolehkan pengesahan input secara lalai melalui tetapan wireObjectCheck.

1. Meminta Panduan Pelaksanaan Teknikal Keselamatan (jika berkenaan)

Panduan Pelaksanaan Teknikal Keselamatan (STIG) mengandungi garis panduan keselamatan untuk penempatan di Jabatan Pertahanan Amerika Syarikat. MongoDB Inc. menyediakan STIG, atas permintaan, untuk situasi di mana ia diperlukan.

1. Pertimbangkan Pematuhan Piawaian Keselamatan

Untuk aplikasi yang memerlukan pematuhan HIPAA atau PCI-DSS, sila rujuk kepada Senibina Rujukan Keselamatan MongoDB di sini untuk mengetahui lebih lanjut mengenai cara anda boleh menggunakan keupayaan keselamatan utama untuk membina infrastruktur aplikasi yang mematuhi.

Bagaimana untuk mengetahui sama ada pemasangan MongoDB digodam

• Sahkan pangkalan data dan koleksi anda. Para penggodam biasanya menggugurkan pangkalan data dan koleksi dan menggantikannya dengan yang baru sambil menuntut tebusan untuk asal
• Jika kawalan akses didayakan, audit log sistem untuk mengetahui percubaan akses yang tidak sah atau aktiviti yang mencurigakan. Mencari arahan yang menurunkan data anda, pengguna yang diubahsuai, atau mencipta rekod tuntutan tebusan.

Perhatikan bahawa tidak ada jaminan bahawa data anda akan dikembalikan walaupun anda telah membayar tebusan. Oleh itu, serangan pos, keutamaan pertama anda perlu mendapatkan kluster anda untuk menghalang capaian yang tidak dibenarkan lagi.

Jika anda mengambil sandaran, maka pada masa anda memulihkan versi terbaru, anda boleh menilai data yang mungkin berubah sejak sandaran paling terkini dan masa serangan. Untuk maklumat lanjut, anda boleh melawat mongodb.com .