Защитите базу данных MongoDB от программ-вымогателей

Программа-вымогатель недавно поразила несколько незащищенных установок MongoDB и удерживала данные с целью выкупа. Здесь мы увидим, что такое MongoDB, и рассмотрим некоторые шаги, которые вы можете предпринять для защиты и защиты базы данных MongoDB. Для начала краткое введение в MongoDB.

Что такое MongoDB

MongoDB — это база данных с открытым исходным кодом, в которой данные хранятся с использованием гибкой модели данных документа. MongoDB отличается от традиционных баз данных, которые построены с использованием таблиц и строк, тогда как MongoDB использует архитектуру коллекций и документов.

Следуя динамической схеме, MongoDB позволяет документам в коллекции иметь разные поля и структуры. База данных использует формат хранения документов и обмена данными под названием BSON, который обеспечивает двоичное представление документов, подобных JSON. Это ускоряет и упрощает интеграцию данных для определенных типов приложений.

Атаки программ-вымогателей на данные MongoDB

Недавно Виктор Геверс, исследователь безопасности твитнул что произошла серия атак программ-вымогателей на плохо защищенные установки MongoDB. Атаки начались в декабре прошлого года около Рождества 2016 года и с тех пор заразили тысячи серверов MongoDB.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

защитить и защитить базу данных MongoDB от программ-вымогателей

Первоначально Виктор обнаружил 200 установок MongoDB, которые были атакованы и удерживались с целью получения выкупа. Однако вскоре количество зараженных установок выросло до 2000 БД, как сообщил другой исследователь безопасности, основатель Shodan Джон Матерли, а к концу первой недели 2017 года количество скомпрометированных систем превысило 27000.

Потребовал выкуп

Первоначальные сообщения предполагали, что злоумышленники требовали 0,2 биткойна (примерно 184 доллара США) в качестве выкупа, который заплатили 22 жертвы. В настоящее время злоумышленники увеличили сумму выкупа и теперь требуют 1 биткойн (около 906 долларов США).

С момента раскрытия информации исследователи безопасности выявили более 15 хакеров, участвовавших в захвате серверов MongoDB. Среди них злоумышленник, использующий дескриптор электронной почты. kraken0 взломал более 15 482 серверов MongoDB и требует 1 биткойн, чтобы вернуть потерянные данные.

Безопасность MongoDB

К настоящему времени количество угнанных серверов MongoDB выросло более чем на 28 000, так как все больше хакеров также делают то же самое — получают доступ, копируют и удаляют плохо настроенные базы данных для Ransom. Более того, Kraken, группа, которая ранее занималась распространением Windows Ransomware, присоединился к тоже.

Как проникает программа-вымогатель MongoDB

Серверы MongoDB, доступные через Интернет без пароля, стали жертвами хакеров. Следовательно, администраторы серверов, которые решили запускать свои серверы без пароля и использовали имена пользователей по умолчанию, были легко обнаружены хакерами.

Что еще хуже, бывают случаи повторного взлома одного и того же сервера разными хакерскими группами, которые заменяют существующие записки о выкупе своими собственными, что лишает жертвы возможности узнать, платят ли они даже правильному преступнику, не говоря уже о том, платят ли они данные можно восстановить. Таким образом, нет уверенности в том, что украденные данные будут возвращены. Следовательно, даже если вы заплатили выкуп, ваши данные все равно могут исчезнуть.

Безопасность MongoDB

Администраторы сервера обязательно должны назначить надежный пароль и имя пользователя для доступа к базе данных. Компаниям, использующим стандартную установку MongoDB, также рекомендуется обновить свое программное обеспечение, настроить аутентификацию и заблокировать порт 27017, который больше всего подвергался атакам хакеров.

Шаги по защите ваших данных MongoDB

  1. Принудительное управление доступом и аутентификация

Начните с включения контроля доступа к вашему серверу и укажите механизм аутентификации. Аутентификация требует, чтобы все пользователи предоставили действительные учетные данные, прежде чем они смогут подключиться к серверу.

Последняя версия MongoDB 3.4 позволяет настроить аутентификацию в незащищенной системе без простоев.

  1. Настройка контроля доступа на основе ролей

Вместо предоставления полного доступа набору пользователей создайте роли, которые определяют точный доступ для набора потребностей пользователей. Следуйте принципу наименьших привилегий. Затем создайте пользователей и назначьте им только те роли, которые им необходимы для выполнения их операций.

  1. Шифрование связи

Зашифрованные данные сложно интерпретировать, и не многие хакеры могут успешно их расшифровать. Настройте MongoDB на использование TLS / SSL для всех входящих и исходящих подключений. Используйте TLS / SSL для шифрования связи между компонентами mongod и mongos клиента MongoDB, а также между всеми приложениями и MongoDB.

Используя MongoDB Enterprise 3.2, собственное шифрование в состоянии покоя подсистемы хранилища WiredTiger можно настроить для шифрования данных на уровне хранилища. Если вы не используете шифрование WiredTiger в состоянии покоя, данные MongoDB должны быть зашифрованы на каждом хосте с использованием файловой системы, устройства или физического шифрования.

  1. Ограничить доступ к сети

Чтобы ограничить доступ к сети, убедитесь, что MongoDB работает в надежной сетевой среде. Администраторы должны разрешать только доверенным клиентам доступ к сетевым интерфейсам и портам, на которых доступны экземпляры MongoDB.

  1. Сделайте резервную копию ваших данных

MongoDB Cloud Manager и MongoDB Ops Manager обеспечивают непрерывное резервное копирование с восстановлением на определенный момент времени, и пользователи могут включить оповещения в Cloud Manager, чтобы определить, доступно ли их развертывание в Интернете.

  1. Аудит активности системы

Системы аудита периодически гарантируют, что вы будете в курсе любых нерегулярных изменений в вашей базе данных. Отслеживайте доступ к конфигурациям и данным базы данных. MongoDB Enterprise включает средство системного аудита, которое может записывать системные события в экземпляре MongoDB.

  1. Запустите MongoDB с выделенным пользователем

Запускайте процессы MongoDB с помощью специальной учетной записи пользователя операционной системы. Убедитесь, что у учетной записи есть разрешения на доступ к данным, но нет лишних разрешений.

  1. Запустите MongoDB с параметрами безопасной конфигурации

MongoDB поддерживает выполнение кода JavaScript для определенных операций на стороне сервера: mapReduce, group и $ where. Если вы не используете эти операции, отключите сценарии на стороне сервера с помощью параметра –noscripting в командной строке.

В производственных развертываниях используйте только проводной протокол MongoDB. Не отключать проверку ввода. MongoDB по умолчанию включает проверку ввода с помощью параметра wireObjectCheck. Это гарантирует, что все документы, хранящиеся в экземпляре mongod, являются действительными BSON.

  1. Запросите техническое руководство по внедрению системы безопасности (если применимо)

Техническое руководство по внедрению безопасности (STIG) содержит рекомендации по безопасности для развертываний в Министерстве обороны США. MongoDB Inc. предоставляет свой STIG по запросу для ситуаций, когда это необходимо. Вы можете запросить копию для получения дополнительной информации.

  1. Учитывайте соответствие стандартам безопасности

Информацию о приложениях, требующих соответствия HIPAA или PCI-DSS, см. В эталонной архитектуре безопасности MongoDB. здесь чтобы узнать больше о том, как можно использовать ключевые возможности безопасности для создания совместимой инфраструктуры приложений.

Как узнать, взломана ли ваша установка MongoDB

  • Проверьте свои базы данных и коллекции. Хакеры обычно отбрасывают базы данных и коллекции и заменяют их новыми, требуя выкуп за оригинал.
  • Если контроль доступа включен, проверьте системные журналы на предмет попыток несанкционированного доступа или подозрительной активности. Ищите команды, которые сбросили ваши данные, изменили пользователей или создали запись о требовании выкупа.

Обратите внимание, что нет гарантии, что ваши данные будут возвращены даже после того, как вы заплатили выкуп. Следовательно, после атаки вашим первым приоритетом должна быть защита вашего кластера (ов) для предотвращения дальнейшего несанкционированного доступа.

Если вы делаете резервные копии, то при восстановлении самой последней версии вы можете оценить, какие данные могли измениться с момента создания самой последней резервной копии, а также время атаки. Для получения дополнительной информации вы можете посетить mongodb.com.

MongoDB .

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *