"Ransomware" neseniai patyrė kai kuriuos nesaugius "MongoDB" įrenginius ir saugojo duomenis išpirkti. Čia mes pamatysime, kas yra MongoDB ir pažiūrėkite į kai kuriuos veiksmus, kuriuos galite imtis, kad apsaugotumėte ir apsaugotumėte MongoDB duomenų bazę. Pirmiausia, čia yra trumpas įvadas apie MongoDB.
Kas yra MongoDB?
MongoDB yra atvirojo kodo duomenų bazė, kurioje saugomi duomenys naudojant lankstų dokumentų duomenų modelį. MongoDB skiriasi nuo tradicinių duomenų bazių, kurios yra sukurtos naudojant lenteles ir eilutes, o MongoDB naudoja kolekcijų ir dokumentų architektūrą.
Po dinaminio schemos dizaino MongoDB leidžia rinkti dokumentus, turinčius skirtingus laukus ir struktūras. Duomenų bazėje naudojamas dokumentų atminties ir duomenų mainų formatas, vadinamas BSON, kuris pateikia dvejetainę JSON tipo dokumentų vaizdą. Dėl to greičiau ir lengviau tam tikro tipo programų duomenų integracija.
Ransomware išpuolių MongoDB duomenų
Neseniai saugumo tyrėjas Viktoras Geversis tweeted, kad buvo rangas Ransomware atakų dėl netinkamai apsaugotų MongoDB įrenginių. Atakos pradžios praėjusį gruodį įvyko 2016 m. Kalėdos ir nuo to laiko užpuolė tūkstančius MongoDB serverių.
Iš pradžių Viktoras atrado 200 "MongoDB" įrenginių, kurie buvo užpulti ir laikomi išpirkti. Tačiau netrukus užkrėstų įrenginių skaičius išaugo iki 2000 DB, kaip pranešė kitas saugumo tyrėjas, "Shodan" įkūrėjas John Matherly, ir iki 1st 2017 m. savaitę, kompromisinių sistemų skaičius sudarė daugiau nei 27 000.
Ransom reikalavo
Pradinėse ataskaitose teigiama, kad užpuolikai reikalavo 0,2 bitino (apie 184 JAV dolerių) kaip išpirkos, kurią sumokėjo 22 aukos. Šiuo metu užpuolikai padidino išpirkos sumą ir dabar reikalauja 1 Bitcoin (maždaug 906 USD).
Nuo informacijos atskleidimo saugumo tyrėjai nustatė, kad daugiau nei 15 hakerių yra užgrobę MongoDB serverius. Tarp jų - užpuolikas el. Pašto tvarkytuvu kraken0 turi sugadino daugiau nei 15 482 MongoDB serverius ir reikalauja 1 Bitcoin grąžinti prarastus duomenis.
Kaip veikia "MongoDB Ransomware"?
MongoDB serveriai, kurie yra prieinami per internetą be slaptažodžio, yra tie, kurie yra nukreipti įsilaužėlių. Taigi, serverių administratoriai, kurie pasirinko paleisti savo serverius be slaptažodžio ir dirba numatytuosius naudotojo vardus buvo lengvai pastebima įsilaužėlių.
Dar blogiau, yra atvejų, kai yra tas pats serveris pakartotinai įsilaužta įvairių įsilaužėlių grupių kurie jau pakeitė esamas išpirkos antspaudus, todėl aukas negalėjo žinoti, ar jie net moka tinkamą nusikaltėlį, ar neatsižvelgiama į tai, ar jų duomenys gali būti susigrąžinami. Todėl nėra tikroviškumo, jei bet kuris iš pavogtų duomenų bus grąžintas. Taigi, net jei sumokėjote išpirką, jūsų duomenys vis tiek gali pasibaigti.
MongoDB saugumas
Reikia, kad serverio administratoriai turėtų priskirti tvirtą slaptažodį ir vartotojo vardą duomenų bazės prieigai. Taip pat patariama naudoti įmones, naudojančias numatytuosius MongoDB įrenginius atnaujinti savo programinę įrangą, nustatykite autentifikavimą ir užrakinti uostą 27017 kuri labiausiai nukreipta įsilaužėlių.
Žingsniai, skirti apsaugoti MongoDB duomenis
Prieigos kontrolės ir autentifikavimo užtikrinimas
Pradėkite nuo Įjunkite savo serverio prieigos valdymą ir nurodykite autentifikavimo mechanizmą. Autentifikacija reikalauja, kad visi vartotojai pateiktų galiojančius kredencialus, kol jie galės prisijungti prie serverio.
Naujausias MongoDB 3.4 išleidimas leidžia konfigūruoti autentifikavimą į neapsaugotą sistemą be prastovų.
Įdiegimas pagal vaidmenį susietą prieigos kontrolę
Užuot suteikę visišką prieigą prie vartotojų rinkinio, sukurkite vaidmenis, kurie apibrėžia tikslią prieigą naudotojų poreikių rinkiniui. Laikykitės mažiausios privilegijos principo. Tada sukurkite naudotojus ir priskirkite jiems tik vaidmenis, kurių jie turi atlikti savo veiksmus.
Šifruoti bendravimą
Šifruotus duomenis sunku suprasti, o ne daugelis įsilaužėlių sugeba sėkmingai iššifruoti. Konfigūruoti MongoDB, kad TLS / SSL būtų naudojamas visiems įeinantiems ir išeinantiems prisijungimams. Naudokite TLS / SSL, norėdami užšifruoti ryšį tarp MongoDB kliento "Mongod" ir "Mongo" komponentų, taip pat tarp visų programų ir "MongoDB".
Naudojant "MongoDB Enterprise 3.2", "WiredTiger" saugyklos variklio gimtoji "Encryption at Rest" gali būti sukonfigūruota šifruoti duomenis saugojimo sluoksnyje. Jei nenaudojate WiredTiger šifravimo ramybėje, MongoDB duomenys turėtų būti užšifruoti kiekviename kompiuteryje naudojant failų sistemą, įrenginį arba fizinį šifravimą.
Apriboti tinklo aptikimą
Norėdami apriboti tinklo aptikimą, įsitikinkite, kad "MongoDB" veikia patikimoje tinklo aplinkoje. Administratoriai turėtų leisti tik patikimiems klientams naudotis tinklo sąsajomis ir prievadais, kuriuose yra MongoDB egzempliorių.
Atsarginių duomenų kopijavimas
"MongoDB" "Cloud Manager" ir "MongoDB Ops" tvarkyklė nuolat palaiko atsarginę kopiją, taigi, vartotojai gali įjungti "Cloud Manager" perspėjimus, kad nustatytų, ar jų įdiegimas yra internetinis.
Audito sistemos veikla
Audito sistemos periodiškai užtikrins, kad žinote apie netaisyklingus jūsų duomenų bazės pakeitimus. Stebėti prieigą prie duomenų bazės konfigūracijų ir duomenų."MongoDB Enterprise" turi sistemos audito įrangą, kuri gali įrašyti sistemos įvykius "MongoDB" egzemplioriuje.
Vykdyti MongoDB su specialiuoju naudotoju
Vykdykite MongoDB procesus naudodami specialią operacinės sistemos vartotojo abonementą. Įsitikinkite, kad paskyroje suteikiami leidimai pasiekti duomenis, bet nereikalingi leidimai.
Vykdyti MongoDB su saugiu konfigūravimo parinktimis
MongoDB palaiko "JavaScript" kodo vykdymą tam tikroms serverio operacijoms: mapReduce, grupei ir $ kur. Jei nenaudosite šių operacijų, išjunkite serverio scenarijus naudodami komandų eilutės "-noskopavimo" parinktį.
Naudokite tik "MongoDB" laidų protokolą dėl gamybos dislokavimo. Įgalioti įvesties patvirtinimą. Pagal numatytuosius nustatymus MongoDB įgalina įvesti patvirtinimą per "wireObjectCheck" nustatymą. Tai užtikrina, kad visi Mongod egzemplioriaus saugomi dokumentai yra galiojantys BSON.
Prašykite saugos techninio įgyvendinimo vadovą (jei taikoma).
Saugumo techninio įgyvendinimo vadove (STIG) pateikiamos saugumo rekomendacijos, skirtos dislokavimui Jungtinių Valstijų gynybos departamente. "MongoDB Inc." savo prašymu pateikia "STIG" situacijoms, kai to reikia. Galite paprašyti kopijos gauti daugiau informacijos.
Apsvarstykite saugumo standartų laikymąsi
Programoms, kurioms reikalingas HIPAA ar PCI-DSS atitikimas, prašome perskaityti MongoDB saugumo nuorodos architektūrą čia sužinokite daugiau apie tai, kaip galite naudoti pagrindinius saugumo pajėgumus, kad sukurtų suderinamą programų infrastruktūrą.
Kaip sužinoti, ar jūsų "MongoDB" įrenginys yra įsilaužtas
- Patikrinkite savo duomenų bazes ir kolekcijas. Įsilaužėliai dažniausiai išleidžia duomenų bazes ir kolekcijas ir pakeičia juos naujais, reikalaudami išpirkti originalą
- Jei įjungta prieigos kontrolė, sistemoje registruojasi žurnalai, kad sužinotumėte apie nesankcionuotą prieigą arba įtartiną veiklą. Ieškokite komandų, kurios sumažino duomenis, pakeitė naudotojus arba sukūrė išpirkos paklausos įrašą.
Atkreipkite dėmesį, kad nėra jokios garantijos, kad jūsų duomenys bus grąžinti net ir sumokėjus išpirką. Taigi, po atakos, jūsų pirmasis prioritetas turėtų būti jūsų grupės (-ų) apsauga, kad būtų užkirstas kelias tolesniam nesankcionuotam naudojimui.
Jei naudosite atsargines kopijas, tuo metu, kai atkursite naujausią versiją, galite įvertinti, kokie duomenys gali būti pakeisti nuo paskutinės atsarginės kopijos ir atakos trukmės. Daugiau informacijos galite aplankyti mongodb.com.
