Ransomware nesen trāpa daži nenodrošināti MongoDB iekārtas un tur dati, lai izpirkt. Šeit mēs redzēsim, kas ir MongoDB un iepazīstieties ar dažiem soļiem, ko varat veikt, lai aizsargātu un aizsargātu MongoDB datubāzi. Pirmkārt, šeit ir īss ievads par MongoDB.
Kas ir MongoDB
MongoDB ir atvērtā koda datu bāze, kurā tiek glabāti dati, izmantojot elastīgu dokumentu datu modeli. MongoDB atšķiras no tradicionālajām datubāzēm, kuras tiek veidotas, izmantojot tabulas un rindas, savukārt MongoDB izmanto kolekciju un dokumentu arhitektūru.
Pēc dinamiska shēmas projekta MongoDB ļauj krājuma dokumentiem veidot dažādus laukus un struktūras. Datu bāzē tiek izmantots dokumentu uzglabāšanas un datu apmaiņas formāts, ko sauc par BSON, kas nodrošina divu formātu JSON līdzīgu dokumentu attēlojumu. Tas padara ātrāku un vienkāršāku datu integrāciju noteiktiem lietojumprogrammu veidiem.
Ransomware uzbrukumi MongoDB datiem
Nesen drošības pētnieks Victor Gevers tweeted, ka pastāv virkne Ransomware uzbrukumu slikti nodrošinātas MongoDB iekārtas. Uzbrukumi sākās pagājušā gada decembrī aptuveni 2016. gada Ziemassvētkos un kopš tā laika ir inficēti tūkstošiem MongoDB serveru.
Sākotnēji Victor atklāja 200 MongoDB iekārtas, kuras uzbruka un turēja izpirkuma maksu. Tomēr drīz inficētās iekārtas pieauga līdz 2000 DB, par ko ziņojis cits drošības pētnieks Shodan dibinātājs John Matherly, un līdz 1. gada beigāmst 2017. gada nedēļā kompromitēto sistēmu skaits pārsniedza 27 000.
Pieprasītie izpirkuma maksājumi
Sākotnējos ziņojumos tika ieteikts, ka uzbrucēji pieprasīja 0,2 bitkoīnas (apmēram 184 ASV dolāri) kā izpirkuma maksu, ko maksāja 22 upuri. Pašlaik uzbrucēji ir palielinājuši izpirkšanas summu un tagad prasa 1 Bitcoin (aptuveni 906 USD).
Kopš informācijas izpaušanas drošības pētnieki ir identificējuši vairāk nekā 15 hakerus, kas iesaistīti MongoDB serveru nolaupīšanā. Starp tiem, uzbrucējs, izmantojot e-pastu rīkoties kraken0 ir apdraudējis vairāk kā 15482 MongoDB serverus un prasa 1 Bitcoin atdot zaudētos datus.
Kā darbojas MongoDB Ransomware
MongoDB serveri, kas ir pieejami caur internetu bez paroles, ir tie, uz kuriem vēršas hakeri. Tādējādi servera administratori, kuri izvēlējās palaist savus serverus bez paroles un nodarbināti noklusējuma lietotājvārdi bija viegli pamanījuši hakeri.
Sliktāk, tur ir gadījumi, kad ir viens un tas pats serveris atkārtoti uzlauzts ar dažādām hakeru grupām kas jau ir aizstājuši esošās izpirkuma piezīmes un padara cietušajiem neiespējamu zināt, vai viņi pat maksā tiesības par noziedznieku, nemaz nerunājot par to, vai viņu datus var atgūt. Tāpēc nav skaidrības par to, vai kāds no nozagtajiem datiem tiks nosūtīts atpakaļ. Tādējādi, pat ja jūs samaksājāt izpirkuma maksu, jūsu dati joprojām var būt pagājuši.
MongoDB drošība
Tas nozīmē, ka servera administratoriem ir jāpiešķir spēcīga parole un lietotājvārds, lai piekļūtu datu bāzei. Uzņēmumiem, kas izmanto noklusēto MongoDB instalāciju, ir ieteicams arī atjauniniet savu programmatūru, iestatīt autentifikāciju un bloķēt ostu 27017 kas visvairāk ir vērsta uz hakeriem.
Pasākumi, lai aizsargātu MongoDB datus
Piestipriniet piekļuves kontroli un autentifikāciju
Sāciet, lai iespējotu sava servera piekļuves kontroli un norādītu autentifikācijas mehānismu. Lai autentifikācija prasītu, ka visi lietotāji sniedz derīgu akreditāciju pirms viņi var izveidot savienojumu ar serveri.
Pēdējais MongoDB 3.4 atbrīvošana ļauj konfigurēt autentifikāciju neaizsargātai sistēmai, neuztraucoties par dīkstāvi.
Iestatīt lomu balstītu piekļuves kontroli
Tā vietā, lai nodrošinātu pilnīgu piekļuvi lietotāju kopumam, izveidojiet lomas, kas definē precīzu piekļuvi lietotāju vajadzību kopumam. Ievērojiet vismazāko privilēģiju principu. Tad izveidojiet lietotājus un piešķiriet tiem tikai tos uzdevumus, kas tiem nepieciešami, lai veiktu viņu darbības.
Šifrēt komunikāciju
Šifrētus datus ir grūti interpretēt, un daudzi hackers nespēj to atšifrēt veiksmīgi. Konfigurējiet MongoDB, lai izmantotu TLS / SSL visiem ienākošajiem un izejošajiem savienojumiem. Izmantojiet TLS / SSL, lai šifrētu saziņu starp MongoDB klienta mongod un mongos komponentiem, kā arī starp visām lietojumprogrammām un MongoDB.
Izmantojot MongoDB Enterprise 3.2, WiredTiger uzglabāšanas dzinējs, vietējais šifrējums Rest var konfigurēt, lai šifrētu datus uzglabāšanas slānī. Ja jūs neizmantojat WiredTiger šifrēšanu miera stāvoklī, MongoDB datiem jābūt šifrētiem katrā uzņēmējā, izmantojot failu sistēmu, ierīci vai fizisko šifrēšanu.
Ierobežot tīkla ekspozīciju
Lai ierobežotu tīkla ekspozīciju, pārliecinieties, vai MongoDB darbojas uzticamas tīkla vidē. Administratoriem jāļauj tikai uzticamiem klientiem piekļūt tīkla saskarnēm un ostām, kurās ir pieejami MongoDB eksemplāri.
Dublējiet savus datus
MongoDB Cloud Manager un MongoDB Ops pārvaldnieks nodrošina nepārtrauktu dublējumkopiju ar laika atjaunošanas līdzekli, un lietotāji var iespējot brīdinājumus Cloud Manager, lai noteiktu, vai to izvietošana ir atklāta internetā.
Revīzijas sistēmas darbība
Periodiskas audita sistēmas nodrošina, ka jūs esat informēts par jebkādām nepareizām izmaiņām jūsu datubāzē. Izsekojiet pieeju datubāzu konfigurācijām un datiem.MongoDB Enterprise ietver sistēmas auditu, kas var ierakstīt sistēmas notikumus MongoDB instancē.
Palaidiet MongoDB ar speciālu lietotāju
Palaidiet MongoDB procesus ar īpašu operētājsistēmas lietotāja kontu. Pārliecinieties, vai kontam ir atļaujas piekļūt datiem, bet nevajadzīgas atļaujas.
Palaidiet MongoDB ar drošām konfigurācijas opcijām
MongoDB atbalsta JavaScript koda izpildi dažām servera operācijām: mapReduce, grupa un $ kur. Ja jūs neizmantojat šīs darbības, atspējojiet servera puses skriptus, izmantojot komandrindā -noscripting opciju.
Izmantojiet tikai MongoDB vadu protokolu ražošanas izvietojumos. Saglabāt ievades apstiprināšanu. MongoDB pēc noklusējuma ļauj ievades validāciju, izmantojot iestatījumu wireObjectCheck. Tas nodrošina, ka visi Mongodas instancē uzglabātie dokumenti ir derīgi BSON.
Pieprasīt drošības tehniskās ieviešanas rokasgrāmatu (ja piemērojams)
Drošības tehniskās īstenošanas rokasgrāmatā (STIG) ir ietvertas drošības vadlīnijas izvietošanai Amerikas Savienoto Valstu Aizsardzības departamentā. MongoDB Inc. pēc pieprasījuma sniedz STIG situācijās, kad tas ir nepieciešams. Lai iegūtu vairāk informācijas, varat pieprasīt kopiju.
Apsveriet drošības standartu atbilstību
Lietojumprogrammām, kurām nepieciešama HIPAA vai PCI-DSS atbilstība, lūdzu, skatiet MongoDB drošības atsauču arhitektūru šeit lai uzzinātu vairāk par to, kā jūs varat izmantot galvenās drošības iespējas, lai izveidotu atbilstošu lietojumprogrammu infrastruktūru.
Kā uzzināt, vai jūsu MongoDB instalācija ir uzlauzta
- Pārbaudiet savas datu bāzes un kolekcijas. Hackers parasti liek datubāzes un kolekcijas un aizstāt tos ar jaunu, vienlaikus pieprasot oriģinālu izpirkuma maksu
- Ja ir iespējota piekļuves kontrole, sistēma pārbauda sistēmas žurnālus, lai noskaidrotu neautorizētas piekļuves mēģinājumus vai aizdomīgas darbības. Meklējiet komandas, kas samazināja jūsu datus, modificētus lietotājus vai izveidoja izņemšanas pieprasījuma ierakstu.
Ņemiet vērā, ka nav garantijas, ka jūsu dati tiks atgriezti pat pēc tam, kad esat samaksājis izpirkuma summu. Tādējādi, pēc uzbrukuma, jūsu pirmā prioritāte ir jānodrošina jūsu kopu (-s), lai novērstu turpmāku nesankcionētu piekļuvi.
Ja veicat dublējumkopijas, tad laikā, kad atjaunojat jaunāko versiju, varat novērtēt, kādi dati, iespējams, ir mainījušies kopš pēdējā dublējuma un uzbrukuma laiku. Lai iegūtu vairāk, jūs varat apmeklēt mongodb.com.
