MongoDB Ασφάλεια: Ασφαλής και προστασία της βάσης δεδομένων MongoDB από το Ransomware

Το Ransomware έπληξε πρόσφατα ορισμένες μη ασφαλείς εγκαταστάσεις MongoDB και κράτησε τα δεδομένα για λύτρα. Εδώ θα δούμε τι είναι MongoDB και ρίξτε μια ματιά σε μερικά βήματα που μπορείτε να κάνετε για να προστατεύσετε και να προστατεύσετε τη βάση δεδομένων MongoDB. Αρχικά, εδώ είναι μια σύντομη εισαγωγή για το MongoDB.

Τι είναι το MongoDB

Το MongoDB είναι μια βάση δεδομένων ανοιχτού κώδικα που αποθηκεύει τα δεδομένα χρησιμοποιώντας ένα ευέλικτο μοντέλο δεδομένων. Το MongoDB διαφέρει από τις παραδοσιακές βάσεις δεδομένων που κατασκευάζονται με πίνακες και σειρές, ενώ το MongoDB χρησιμοποιεί μια αρχιτεκτονική συλλογών και εγγράφων.

Μετά από ένα δυναμικό σχεδιασμό σχήματος, το MongoDB επιτρέπει στα έγγραφα μιας συλλογής να έχουν διαφορετικά πεδία και δομές. Η βάση δεδομένων χρησιμοποιεί μια μορφή αποθήκευσης εγγράφων και μορφής ανταλλαγής δεδομένων που ονομάζεται BSON, η οποία παρέχει δυαδική αναπαράσταση εγγράφων τύπου JSON. Αυτό κάνει την ενσωμάτωση δεδομένων για ορισμένους τύπους εφαρμογών γρηγορότερα και ευκολότερα

Επιθέσεις Ransomware επιθέσεις MongoDB

Πρόσφατα, ο Victor Gevers, ένας ερευνητής ασφαλείας tweeted ότι υπήρξε μια σειρά επιθέσεων Ransomware σε εγκατεστημένες MongoDB. Οι επιθέσεις άρχισαν τον περασμένο Δεκέμβριο γύρω στα Χριστούγεννα το 2016 και από τότε έχουν μολύνει χιλιάδες διακομιστές MongoDB.

Αρχικά, ο Βίκτωρ ανακάλυψε 200 εγκαταστάσεις MongoDB οι οποίες επιτέθηκαν και κρατήθηκαν για λύτρα. Ωστόσο, σύντομα οι μολυσμένες εγκαταστάσεις αυξήθηκαν στα 2000 DB, όπως ανέφερε ένας άλλος ερευνητής ασφάλειας, Ιδρυτής Shodan John Matherly, και έως το τέλος της εβδομάδας 1 του 2017, ο αριθμός των συμβιβασμένων συστημάτων ήταν μεγαλύτερος από 27.000.

Η απαίτηση της Ransom

Σύμφωνα με τις αρχικές αναφορές, οι επιτιθέμενοι απαιτούσαν 0.2 Bitcoins (περίπου $ 184) ως λύτρα που καταβλήθηκαν από 22 θύματα. Επί του παρόντος, οι επιτιθέμενοι έχουν αυξήσει το ποσό λύτρα και τώρα απαιτούν 1 Bitcoin (περίπου 906 δολάρια).

Από την αποκάλυψη, οι ερευνητές ασφαλείας έχουν εντοπίσει περισσότερους από 15 χάκερ που εμπλέκονται σε αεροπειρατεία διακομιστών MongoDB. Μεταξύ αυτών, ένας εισβολέας που χρησιμοποιεί ηλεκτρονικό ταχυδρομείο kraken0 έχει βλάψει περισσότερους από 15.482 διακομιστές MongoDB και απαιτεί 1 Bitcoin για να επιστρέψει τα χαμένα δεδομένα.

Μέχρι τώρα, πάνω από 28.000 καθώς οι περισσότεροι χάκερ κάνουν το ίδιο - πρόσβαση, αντιγραφή και διαγραφή άσχημα διαμορφωμένων βάσεων δεδομένων για την Ransom. Επιπλέον, ο Kraken, μια ομάδα που έχει εμπλακεί στο παρελθόν στη διανομή του Windows Ransomware, έχει συμμετάσχει επίσης.

Πώς οι MongoDB Ransomware γλιστρήσουν σε

Οι διακομιστές MongoDB που είναι προσβάσιμοι μέσω του Διαδικτύου χωρίς κωδικό πρόσβασης αυτοί που στοχεύουν οι χάκερ. Ως εκ τούτου, οι διαχειριστές διακομιστών που επέλεξαν να εκτελούν τους διακομιστές τους χωρίς κωδικό πρόσβασης και χρησιμοποιούσαν ονόματα χρήστη ήταν εύκολα εντοπισμένοι από τους hackers.

Τι είναι χειρότερο, υπάρχουν περιπτώσεις του ίδιου διακομιστή οι οποίοι έχουν αντικαταστήσει τις υπάρχουσες σημειώσεις λύκων με τις δικές τους, καθιστώντας αδύνατο για τα θύματα να γνωρίζουν εάν πληρώνουν ακόμη και τον σωστό εγκληματία, πόσο μάλλον αν μπορούν να ανακτηθούν τα δεδομένα τους. Ως εκ τούτου, δεν υπάρχει καμία βεβαιότητα εάν κάποια από τα κλεμμένα δεδομένα θα επιστραφούν. Ως εκ τούτου, ακόμα και αν πληρώσατε τα λύτρα, τα δεδομένα σας ενδέχεται να παραμένουν. Ασφάλεια MongoDB

Είναι απαραίτητο οι διαχειριστές διακομιστών να δώσουν έναν ισχυρό κωδικό πρόσβασης και όνομα χρήστη για πρόσβαση στη βάση δεδομένων. Οι εταιρείες που χρησιμοποιούν την προεπιλεγμένη εγκατάσταση του MongoDB συνιστούν επίσης να ενημερώσουν το λογισμικό τους

, να ρυθμίσουν τον έλεγχο ταυτότητας και τη θύρα κλειδώματος 27017 η οποία έχει στοχοθετηθεί περισσότερο από τους hackers. προστατεύστε τα δεδομένα σας MongoDB Επιβάλλετε τον έλεγχο πρόσβασης και τον έλεγχο ταυτότητας Εκκίνηση με Ενεργοποίηση ελέγχου πρόσβασης του διακομιστή σας και καθορίστε τον μηχανισμό ελέγχου ταυτότητας. Ο έλεγχος ταυτότητας απαιτεί από όλους τους χρήστες να παρέχουν έγκυρα διαπιστευτήρια πριν μπορέσουν να συνδεθούν με το διακομιστή.

Η πιο πρόσφατη έκδοση

1. MongoDB 3.4

σάς δίνει τη δυνατότητα να ρυθμίσετε τον έλεγχο ταυτότητας σε ένα μη προστατευμένο σύστημα χωρίς να προκαλέσετε διακοπές.

Ρύθμιση πρόσβασης βάσει ρόλων Αντί να παρέχετε πλήρη πρόσβαση σε ένα σύνολο χρηστών, καθορίστε την ακριβή πρόσβαση σε ένα σύνολο αναγκών των χρηστών. Ακολουθήστε μια αρχή του λιγότερου προνομίου. Στη συνέχεια, δημιουργήστε τους χρήστες και αναθέστε τους μόνο τους ρόλους που χρειάζονται για να εκτελέσουν τις λειτουργίες τους. Κρυπτογράφηση επικοινωνίας

1. Τα κρυπτογραφημένα δεδομένα είναι δύσκολο να ερμηνευτούν και πολλοί χάκερ δεν είναι σε θέση να την αποκρυπτογραφήσουν με επιτυχία. Ρυθμίστε το MongoDB ώστε να χρησιμοποιεί TLS / SSL για όλες τις εισερχόμενες και εξερχόμενες συνδέσεις. Χρησιμοποιήστε το TLS / SSL για να κρυπτογραφήσετε την επικοινωνία μεταξύ των Mongod και Mongos συνιστωσών ενός πελάτη MongoDB καθώς και μεταξύ όλων των εφαρμογών και του MongoDB.

Χρησιμοποιώντας το MongoDB Enterprise 3.2, η εγγενής Encryption at Rest του μηχανήματος αποθήκευσης WiredTiger μπορεί να ρυθμιστεί για κρυπτογράφηση δεδομένων στο χώρο αποθήκευσης στρώμα. Εάν δεν χρησιμοποιείτε την κρυπτογράφηση του WiredTiger σε κατάσταση ηρεμίας, τα δεδομένα MongoDB θα πρέπει να κρυπτογραφούνται σε κάθε κεντρικό υπολογιστή χρησιμοποιώντας σύστημα αρχείων, συσκευής ή φυσική κρυπτογράφηση.

1. Όριο Έκθεσης Δικτύου

Για τον περιορισμό της έκθεσης στο δίκτυο βεβαιωθείτε ότι το MongoDB λειτουργεί σε ένα αξιόπιστο δίκτυο περιβάλλον. Οι διαχειριστές πρέπει να επιτρέπουν μόνο σε αξιόπιστους πελάτες να έχουν πρόσβαση στις διεπαφές δικτύου και τις θύρες στις οποίες είναι διαθέσιμες οι παρουσίες του MongoDB.

Δημιουργία αντιγράφων ασφαλείας των δεδομένων σας

1. MongoDB Manager Cloud Manager και MongoDB Ops Manager παρέχουν συνεχή δημιουργία αντιγράφων ασφαλείας με ανάκτηση χρόνου και οι χρήστες μπορούν να ενεργοποιήσουν ειδοποιήσεις στο Cloud Manager για να ανιχνεύσει εάν η ανάπτυξή τους είναι εκτεθειμένη στο διαδίκτυο

Δραστηριότητα συστήματος ελέγχου

1. Τα συστήματα ελέγχου περιοδικά θα διασφαλίζουν ότι γνωρίζετε τυχόν παράτυπες αλλαγές στη βάση δεδομένων σας. Παρακολουθήστε την πρόσβαση σε διαμορφώσεις βάσεων δεδομένων και δεδομένα. Το MongoDB Enterprise περιλαμβάνει μια εγκατάσταση ελέγχου συστήματος που μπορεί να καταγράφει συμβάντα συστήματος σε μια περίπτωση MongoDB.

Εκτελέστε MongoDB με έναν ειδικό χρήστη

1. Εκτελέστε διαδικασίες MongoDB με ειδικό λογαριασμό χρήστη λειτουργικού συστήματος. Βεβαιωθείτε ότι ο λογαριασμός έχει δικαιώματα πρόσβασης σε δεδομένα αλλά όχι άχρηστα δικαιώματα.

Εκτελέστε MongoDB με επιλογές Secure Configuration

1. Το MongoDB υποστηρίζει την εκτέλεση κώδικα JavaScript για ορισμένες λειτουργίες διακομιστή: MapReduce, group και $ where. Εάν δεν χρησιμοποιείτε αυτές τις λειτουργίες, απενεργοποιήστε τη δημιουργία σε δέσμες ενεργειών από την πλευρά του διακομιστή, χρησιμοποιώντας την επιλογή -non-scripting στη γραμμή εντολών.

Χρησιμοποιήστε μόνο το πρωτόκολλο καλωδίου MongoDB στις αναπτυξιακές εφαρμογές. Διατηρήστε την επαλήθευση της εισαγωγής. Το MongoDB επιτρέπει την επαλήθευση εισόδου από προεπιλογή μέσω της ρύθμισης wireObjectCheck.

1. Ζητήστε Οδηγό Τεχνικής Υλοποίησης Ασφαλείας (όπου ισχύει)

Ο Οδηγός Τεχνικής Υλοποίησης Ασφαλείας (STIG) περιέχει οδηγίες ασφάλειας για τις αναπτύξεις στο Υπουργείο Άμυνας των Ηνωμένων Πολιτειών. Η MongoDB Inc. παρέχει το STIG της, κατόπιν αιτήματος, για καταστάσεις όπου απαιτείται. Μπορείτε να ζητήσετε ένα αντίγραφο για περισσότερες πληροφορίες

Εξετάστε την συμμόρφωση με τα πρότυπα ασφαλείας

1. Για εφαρμογές που απαιτούν συμμόρφωση με HIPAA ή PCI-DSS, ανατρέξτε στην Αρχιτεκτονική αναφοράς ασφάλειας MongoDB

εδώ

1. μπορεί να χρησιμοποιήσει τις βασικές δυνατότητες ασφαλείας για να δημιουργήσει συμμορφούμενη υποδομή εφαρμογών.

Πώς να μάθετε εάν η εγκατάστασή σας MongoDB είναι hacked Επαληθεύστε τις βάσεις δεδομένων και τις συλλογές σας. Οι χάκερ συνήθως ρίχνουν τις βάσεις δεδομένων και τις συλλογές και τις αντικαθιστούν με ένα καινούργιο ενώ απαιτούν λύτρωση για το αρχικό Εάν είναι ενεργοποιημένος ο έλεγχος πρόσβασης, ελέγξτε τα αρχεία καταγραφής του συστήματος για να μάθετε για προσπάθειες μη εξουσιοδοτημένης πρόσβασης ή ύποπτη δραστηριότητα. Αναζητήστε εντολές που κατέστρεψαν τα δεδομένα σας, τροποποίησαν χρήστες ή δημιούργησαν την καταγραφή ζήτησης λύτρας.

Λάβετε υπόψη ότι δεν υπάρχει εγγύηση ότι τα δεδομένα σας θα επιστραφούν ακόμα και μετά την καταβολή του λύκου. Ως εκ τούτου, μετά την επίθεση, η πρώτη προτεραιότητά σας θα πρέπει να είναι η διασφάλιση του cluster σας για να αποτρέψετε περαιτέρω μη εξουσιοδοτημένη πρόσβαση.

• Αν λάβετε αντίγραφα ασφαλείας, τότε κατά την επαναφορά της πιο πρόσφατης έκδοσης, μπορείτε να αξιολογήσετε ποια δεδομένα ενδέχεται να έχουν αλλάξει από τότε το πιο πρόσφατο αντίγραφο ασφαλείας και το χρόνο της επίθεσης. Για περισσότερα, μπορείτε να επισκεφτείτε το
• mongodb.com