Недавно Ransomware поразила некоторые незащищенные установки MongoDB и предоставила данные для выкупа. Здесь мы увидим, что MongoDB и рассмотрим некоторые шаги, которые вы можете предпринять для защиты и защиты базы данных MongoDB. Начнем с того, что здесь представлено краткое введение о MongoDB.
Что такое MongoDB
MongoDB - это база данных с открытым исходным кодом, которая хранит данные с использованием гибкой модели данных документа. MongoDB отличается от традиционных баз данных, которые создаются с использованием таблиц и строк, тогда как MongoDB использует архитектуру коллекций и документов.
После создания динамической схемы MongoDB позволяет документам в коллекции иметь разные поля и структуры. База данных использует формат хранения документов и обмена данными, называемый BSON, который предоставляет двоичное представление JSON-подобных документов. Это ускоряет и упрощает интеграцию данных для определенных типов приложений.
Ransomware атакует данные MongoDB
Недавно Виктор Геверс, исследователь по безопасности, написал в твиттере, что существует целая серия Ransomware-атак на плохо защищенные установки MongoDB. Атаки начались в декабре прошлого года вокруг Рождества 2016 года и с тех пор заразили тысячи серверов MongoDB.
Первоначально Виктор обнаружил 200 установок MongoDB, которые были атакованы и удерживались для выкупа. Однако вскоре зараженные установки взлетели до 2000 БД, как сообщил другой исследователь безопасности, основатель Shodan Джон Матерли, и к концу 1улица неделя 2017 года, число скомпрометированных систем составило более 27 000 человек.
Выкуп потребовал
Первоначальные сообщения предполагали, что злоумышленники требовали 0,2 биткойнов (около 184 долл. США) в качестве выкупа, выплаченных 22 жертвами. В настоящее время злоумышленники увеличили сумму выкупа и теперь требуют 1 биткойн (около 906 долларов США).
С момента раскрытия информации исследователи безопасности обнаружили более 15 хакеров, участвующих в захвате серверов MongoDB. Среди них злоумышленник, использующий электронную почту kraken0 имеет скомпрометировано более 15 482 сервера MongoDB и требует 1 биткойн для возврата потерянных данных.
Как мошенничество с MongoDB Ransomware
Серверы MongoDB, которые доступны через Интернет без пароля, были теми, кого атакуют хакеры. Следовательно, администраторы сервера, которые решили запускать свои серверы без пароля и default usernames были легко обнаружены хакерами.
Что еще хуже, есть случаи, когда один и тот же сервер повторно взломали различные группы хакеров которые заменяют существующие записи выкупа собственными, что делает невозможным для жертв узнать, действительно ли они платят за правонарушение, не говоря уже о том, можно ли их данные восстановить. Поэтому нет уверенности в том, что какой-либо из украденных данных будет возвращен. Следовательно, даже если вы заплатили выкуп, ваши данные все равно могут исчезнуть.
Безопасность MongoDB
Необходимо, чтобы администраторы сервера должны назначить надежный пароль и имя пользователя для доступа к базе данных. Компании, использующие стандартную установку MongoDB, также советуют обновить свое программное обеспечение, настроить аутентификацию и заблокировать порт 27017 который больше всего нацелен на хакеров.
Шаги по защите данных MongoDB
Обеспечить контроль доступа и аутентификацию
Начните с активации управления доступом к серверу и указания механизма проверки подлинности. Для аутентификации требуется, чтобы все пользователи предоставили действительные учетные данные, прежде чем они смогут подключиться к серверу.
Последний MongoDB 3.4 релиз позволяет настроить аутентификацию незащищенной системы, не допуская простоя.
Настройка контроля доступа на основе ролей
Вместо того, чтобы предоставлять полный доступ к набору пользователей, создайте роли, которые определяют точный доступ к набору пользователей. Следуйте принципу наименьших привилегий. Затем создайте пользователей и назначьте им только те роли, которые им необходимы для выполнения своих операций.
Шифрование связи
Зашифрованные данные трудно интерпретировать, и не многие хакеры могут успешно его расшифровать. Настройте MongoDB на использование TLS / SSL для всех входящих и исходящих подключений. Используйте TLS / SSL для шифрования связи между компонентами mongod и mongos клиента MongoDB, а также между всеми приложениями и MongoDB.
Используя MongoDB Enterprise 3.2, собственный механизм шифрования WiredTiger может быть настроен для шифрования данных на уровне хранилища. Если вы не используете шифрование WiredTiger в покое, данные MongoDB должны быть зашифрованы на каждом хосте с использованием файловой системы, устройства или физического шифрования.
Ограничение сетевой экспозиции
Чтобы ограничить влияние сети, убедитесь, что MongoDB работает в надежной сетевой среде. Админы должны разрешать только доверенным клиентам доступ к сетевым интерфейсам и портам, на которых доступны экземпляры MongoDB.
Резервное копирование данных
MongoDB Cloud Manager и MongoDB Ops Manager обеспечивают непрерывное резервное копирование с точным восстановлением времени, а пользователи могут включать предупреждения в Cloud Manager, чтобы определить, установлено ли их развертывание в Интернете
Деятельность системы аудита
Системы аудита периодически гарантируют, что вы будете знать о любых нерегулярных изменениях в вашей базе данных. Отслеживайте доступ к конфигурациям и данным базы данных.MongoDB Enterprise включает в себя средство аудита системы, которое может записывать системные события на экземпляр MongoDB.
Запуск MongoDB с выделенным пользователем
Запуск процессов MongoDB со специальной учетной записью пользователя операционной системы. Убедитесь, что учетная запись имеет разрешения на доступ к данным, но без лишних разрешений.
Запуск MongoDB с использованием безопасных параметров конфигурации
MongoDB поддерживает выполнение кода JavaScript для определенных операций на стороне сервера: mapReduce, group и $ where. Если вы не используете эти операции, отключите серверные скрипты, используя параметр -noscripting в командной строке.
Используйте только проводной протокол MongoDB для развертывания производства. Включите проверку ввода. MongoDB позволяет проверять входные данные по умолчанию с помощью настройки wireObjectCheck. Это гарантирует, что все документы, хранящиеся экземпляром mongod, являются действительными BSON.
Запросить руководство по технической поддержке безопасности (если применимо)
Руководство по технической поддержке безопасности (STIG) содержит рекомендации по безопасности для развертываний в Министерстве обороны Соединенных Штатов. MongoDB Inc. предоставляет свой STIG по запросу для ситуаций, когда это необходимо. Вы можете запросить копию для получения дополнительной информации.
Рассмотрите соответствие стандартов безопасности
Для приложений, требующих соответствия HIPAA или PCI-DSS, обратитесь к серверной архитектуре безопасности MongoDB Вот чтобы узнать больше о том, как использовать ключевые возможности безопасности для создания совместимой инфраструктуры приложений.
Как узнать, взломана ли ваша установка MongoDB
- Проверьте свои базы данных и коллекции. Хакеры обычно бросают базы данных и коллекции и заменяют их новым, требуя выкупа за оригинал
- Если включено управление доступом, выполните аудит журналов системы, чтобы узнать о попытках неавторизованного доступа или подозрительной активности. Ищите команды, которые бросили ваши данные, изменили пользователей или создали запись спроса на выкуп.
Обратите внимание, что нет гарантии, что ваши данные будут возвращены даже после того, как вы заплатили выкуп. Следовательно, пост-атака, ваш первый приоритет должен обеспечивать безопасность вашего кластера (ов), чтобы предотвратить дальнейший несанкционированный доступ.
Если вы берете резервные копии, то в то время, когда вы восстанавливаете самую последнюю версию, вы можете оценить, какие данные могут быть изменены с момента последней резервной копии и времени атаки. Более того, вы можете посетить mongodb.com.
