MongoDB Security: Säkra och skydda MongoDB-databasen från Ransomware

Ransomware slog nyligen några osäkrade MongoDB-installationer och höll uppgifterna till lösen. Här ser vi vad som är MongoDB och ta en titt på några steg du kan vidta för att skydda och skydda MongoDB-databasen. Till att börja med är här en kort introduktion om MongoDB.

Vad är MongoDB

MongoDB är en öppen källdatabas som lagrar data med en flexibel dokumentdatamodell. MongoDB skiljer sig från traditionella databaser som byggs med hjälp av tabeller och rader, medan MongoDB använder en arkitektur av samlingar och dokument.

Med en dynamisk schema design tillåter MongoDB att dokumenten i en samling har olika fält och strukturer. Databasen använder ett dokumentlagrings- och datautbytesformat som heter BSON, vilket ger en binär representation av JSON-liknande dokument. Detta gör dataintegrationen för vissa typer av applikationer snabbare och lättare.

Ransomware attackerar MongoDB-data

Nyligen kritiserade Victor Security, en säkerhetsforskare, att det fanns en rad Ransomware-attacker på dåligt säkrade MongoDB-installationer. Attackerna startade i december i december 2016 och har sedan dess infekterat tusentals MongoDB-servrar.

Victor uppdagade ursprungligen 200 MongoDB-installationer som attackerades och hölls för lösen. Men snart infekterade installationerna ökade till 2000 DBs som rapporterades av en annan säkerhetsforskare, Shodan-grundaren John Matherly, och vid slutet av 1: a ^st veckan 2017 var antalet kompromissystem mer än 27 000.

Ransom krävde

Inledande rapporter föreslog att angripare krävde 0,2 Bitcoins (ca US $ 184) som lösenbelopp som betalades av 22 offer. För närvarande har attackerna ökat lösenbeloppet och kräver nu 1 Bitcoin (ca 906 USD).

Sedan publiceringen har säkerhetsforskarna identifierat mer än 15 hackare som är involverade i kapning av MongoDB-servrar. Bland dem har en angripare som använder e-handtag kraken0 har komprometterat mer än 15.482 MongoDB-servrar och kräver 1 Bitcoin för att returnera de förlorade data.

Hittills har kapade MongoDB-servrar vuxit över 28 000, eftersom fler hackare också gör samma sak - tillgång till, kopiering och radering av dåligt konfigurerade databaser för Ransom. Dessutom har Kraken, en grupp som tidigare varit involverad i distributionen av Windows Ransomware, gått med i.

Hur smälter MongoDB Ransomware i

MongoDB-servrar som är tillgängliga via internet utan lösenord har varit de som är inriktade av hackarna. Därför kunde serveradministratörer som valde att köra sina servrar utan ett lösenord och anställda standard användarnamn lätt upptäckas av hackarna.

Det är värre att det finns fall av samma server som återhackade av olika hackergrupper som har ersatt befintliga lösenkuponger med sina egna, vilket gör det omöjligt för offren att veta om de ens betalar rätt brottsling, än mindre om deras uppgifter kan återvinnas. Därför är det ingen säkerhet om någon av de stulna uppgifterna kommer att returneras. Därför kan även dina uppgifter vara borta, även om du betalat lösenpriset.

MongoDB-säkerhet

Det är ett måste att serveradministratörer måste tilldela ett starkt lösenord och användarnamn för att komma åt databasen. Företag som använder standardinstallationen av MongoDB rekommenderas också att uppdatera programvaran , upprätta autentisering och låsa ner port 27017 som har riktats mest ut av hackarna.

Åtgärder för att skydda din MongoDB-data

1. Förbättra åtkomstkontroll och autentisering

Börja med Aktivera åtkomstkontroll av din server och ange autentiseringsmekanismen. Autentisering kräver att alla användare tillhandahåller giltiga uppgifter innan de kan ansluta till servern.

De senaste mongodb 3,4 utsläpp kan du konfigurera autentisering till en oskyddad system utan att ådra sig stillestånd.

1. Setup rollbaserad åtkomst kontroll

Snarare än att ge tillgång till en grupp av användare, skapa roller som definiera exakt tillgång till en uppsättning användares behov. Följ en princip med minst privilegium. Skapa sedan användare och tilldela dem bara de roller de behöver för att utföra sina operationer.

1. Kryptera kommunikation

Krypterad data är svår att tolka, och inte många hackare kan dekryptera det framgångsrikt. Konfigurera MongoDB för att använda TLS / SSL för alla inkommande och utgående anslutningar. Använda TLS / SSL för att kryptera kommunikationen mellan mongod och Mongos komponenter i en MongoDB kund samt mellan alla applikationer och MongoDB.

Använda MongoDB Enterprise 3,2, kan WiredTiger lagrings motorns den nativa Kryptering på Rest konfigureras att kryptera data i lagrings lager. Om du inte använder WiredTiger krypterings i vila, bör MongoDB data krypteras på varje värd med hjälp av filsystem, enhet eller fysisk kryptering.

1. Limit Network Exponering

För att begränsa Network exponering se till att MongoDB körs i en betrodd nätverk miljö. Administratörer bör tillåta endast betrodda klienter att få tillgång till gränssnitt och hamnar som MongoDB instanser finns nätverk.

1. säkerhetskopiera dina data

MongoDB Cloud Manager och MongoDB Ops chef ger kontinuerlig säkerhetskopiering med tidpunkt återhämtning, och användarna kan aktivera varningar i Cloud Manager för att upptäcka om deras utplacering är internetexponerad

1. Revisionssystemaktivitet

Revisionssystem kommer regelbundet att se till att du är medveten om oregelbundna ändringar i din databas. Spåra åtkomst till databaskonfigurationer och data. MongoDB Enterprise innehåller en systemrevisionsanläggning som kan spela in systemhändelser i en MongoDB-instans.

1. Kör MongoDB med en dedikerad användare

Kör MongoDB-processer med ett dedikerat operativsystem användarkonto. Se till att kontot har behörighet att komma åt data men inga onödiga behörigheter

1. Kör MongoDB Säkra konfigurationsalternativ

MongoDB stöder genomförandet av JavaScript-kod för vissa serversidan operationer. MapReduce, grupp och $ där. Om du inte använder de här operationerna, avaktivera scriptet på serverns sida med hjälp av alternativet -noscripting på kommandoraden.

Använd bara MongoDB-trådprotokollet vid produktionsutplaceringar. Behåll inmatningsvalidering aktiverad. MongoDB möjliggör inmatningsvalidering som standard via wireObjectCheck-inställningen. Detta säkerställer att alla dokument som lagras av mongod-instansen är giltiga BSON.

1. Begär en säkerhetshandbok för teknisk implementering (i förekommande fall)

Säkerhets tekniska implementeringshandboken (STIG) innehåller säkerhetsriktlinjer för deployeringar inom Förenta staternas försvarsdepartement. MongoDB Inc. tillhandahåller sin STIG, på begäran, för situationer där det är nödvändigt. Du kan begära en kopia för mer information.

1. Överväg Security Standards efterlevnad

För applikationer som kräver HIPAA eller PCI-DSS-efterlevnad, hänvisas till MongoDB Security Reference Architecture här för att lära sig mer om hur man kan använda de viktigaste säkerhetsfunktionerna för att skapa kompatibel applikationsinfrastruktur.

Så här hittar du om din MongoDB-installation hackas

• Verifiera dina databaser och samlingar. Hackarna brukar släppa databaser och samlingar och ersätta dem med en ny samtidigt som de kräver ett lösenum för originalet
• Om åtkomstkontrollen är aktiverad, granska systemloggarna för att ta reda på obehöriga åtkomstförsök eller misstänkt aktivitet. Leta efter kommandon som släppte dina data, ändrade användare eller skapade lösenordsrekordet.

Observera att det inte finns någon garanti för att dina uppgifter kommer att returneras även efter att du har betalat lösenordningen. Följaktligen bör din första prioritet vara ditt första prioriterat område för att förhindra ytterligare obehörig åtkomst.

Om du tar säkerhetskopior, då du återställer den senaste versionen, kan du utvärdera vilka data som kan ha ändrats sedan den senaste säkerhetskopieringen och tiden för attacken. För mer kan du besöka mongodb.com .