MongoDB Security: การรักษาความปลอดภัยและปกป้องฐานข้อมูล MongoDB จาก Ransomware

Ransomware เพิ่งติดตั้ง MongoDB แบบไม่มีหลักประกันและเก็บข้อมูลเพื่อเรียกค่าไถ่ ที่นี่เราจะเห็นว่ามีอะไร MongoDB และดูที่ขั้นตอนบางอย่างที่คุณสามารถทำได้เพื่อรักษาความปลอดภัยและปกป้องฐานข้อมูล MongoDB เริ่มจากนี่คือบทแนะนำสั้น ๆ เกี่ยวกับ MongoDB

MongoDB คืออะไร MongosDB เป็นฐานข้อมูลโอเพนซอร์สที่จัดเก็บข้อมูลโดยใช้แบบจำลองข้อมูลเอกสารที่มีความยืดหยุ่น MongoDB แตกต่างจากฐานข้อมูลแบบดั้งเดิมที่สร้างขึ้นโดยใช้ตารางและแถวขณะที่ MongoDB ใช้สถาปัตยกรรมของคอลเล็กชันและเอกสาร

ตามแบบแผนแบบไดนามิก MongoDB ช่วยให้เอกสารในคอลเล็กชันมีฟิลด์และโครงสร้างที่แตกต่างกัน ฐานข้อมูลใช้การจัดเก็บเอกสารและรูปแบบการแลกเปลี่ยนข้อมูลที่เรียกว่า BSON ซึ่งมีการแทนไบนารีของเอกสาร JSON-like ข้อมูลนี้ทำให้การรวมข้อมูลสำหรับแอพพลิเคชันบางประเภททำได้เร็วและง่ายขึ้น

การโจมตีของ Ransomware ข้อมูล MongoDB

เมื่อเร็ว ๆ นี้ Victor Gevers นักวิจัยด้านความปลอดภัยได้ทวีตข้อความว่ามีการโจมตี Ransomware ในการติดตั้ง MongoDB ที่ไม่ปลอดภัย การโจมตีเริ่มขึ้นเมื่อเดือนธันวาคมปีคริสมาสต์ 2016 และมีการบุกรุกเซิร์ฟเวอร์ MongoDB เป็นพัน ๆ ครั้ง

ตอนแรกวิกเตอร์ค้นพบสถานที่ติดตั้ง MongoDB 200 แห่งที่ถูกโจมตีและรอการไถ่ตัว อย่างไรก็ตามในไม่ช้าการติดตั้งที่ติดเชื้อเพิ่มสูงขึ้นถึง 2000 DBs ตามที่รายงานโดยนักวิจัยด้านความปลอดภัยคนอื่น Shodan ผู้ก่อตั้ง John Matherly และเมื่อสิ้นสุดสัปดาห์ที่ 1

st ^{ในปี 2017 จำนวนของระบบที่ถูกบุกรุกมีมากกว่า 27,000 ราย} ค่าไถ่เรียกร้อง

รายงานเบื้องต้นชี้ให้เห็นว่าผู้บุกรุกกำลังเรียกร้องค่าไถ่ซึ่งเป็นเงินจำนวน 0.2 Bitcoins (ประมาณ 184 เหรียญสหรัฐ) ซึ่งจ่ายโดย 22 ผู้ที่ตกเป็นเหยื่อ ปัจจุบันผู้บุกรุกได้เพิ่มจำนวนค่าไถ่และเรียกร้อง Bitcoin 1 ครั้ง (ประมาณ 906 เหรียญสหรัฐ)

ตั้งแต่การเปิดเผยนักวิจัยด้านความปลอดภัยได้ระบุว่ามีแฮ็กเกอร์กว่า 15 รายที่เกี่ยวข้องกับเซิร์ฟเวอร์ MongoDB ที่ถูกหักหลัง ในขณะที่ผู้บุกรุกที่ใช้ email handle

kraken0 มี บุกรุกมากกว่า 15,482 MongoDB servers และเรียกร้อง Bitcoin 1 เพื่อส่งคืนข้อมูลที่หายไป จนถึงปัจจุบันเซิร์ฟเวอร์ MongoDB ที่ถูกแย่งชิงได้เติบโตขึ้น มากกว่า 28,000 แฮกเกอร์มากขึ้นเช่นเดียวกันการเข้าถึงคัดลอกและลบฐานข้อมูลที่มีการกำหนดค่าไม่ดีสำหรับ Ransom นอกจากนี้ Kraken ซึ่งเป็นกลุ่มที่เคยมีส่วนร่วมในการแจกจ่าย Windows Ransomware ได้เข้าร่วมด้วยเช่นกัน

MongoDB Ransomware แอบเข้าไปใน

MongoDB servers ที่เข้าถึงผ่านทางอินเทอร์เน็ตได้โดยปราศจากรหัสผ่าน คนที่มีเป้าหมายโดยแฮกเกอร์ ดังนั้นผู้ดูแลระบบเซิร์ฟเวอร์ที่เลือกใช้เซิร์ฟเวอร์

โดยไม่มีรหัสผ่าน และใช้ชื่อผู้ใช้ เป็นค่าเริ่มต้นโดยแฮคเกอร์ มีอะไรเลวร้ายยิ่งกว่านั้น

แฮ็กเกอร์อีกครั้งโดยกลุ่มแฮ็กเกอร์ที่แตกต่างกัน ที่ได้รับการแทนที่ตั๋วสัญญาใช้เงินที่มีอยู่ด้วยตัวเองทำให้ไม่สามารถให้ผู้ที่ตกเป็นเหยื่อทราบว่าพวกเขากำลังจ่ายเงินให้กับผู้ร้ายที่ถูกต้องและไม่ต้องสงสัยว่าข้อมูลของพวกเขาสามารถกู้คืนได้หรือไม่ ดังนั้นจึงไม่มีความแน่นอนว่าข้อมูลใด ๆ ที่ถูกขโมยจะถูกส่งคืน ดังนั้นแม้ว่าคุณจะจ่ายเงินค่าไถ่ข้อมูลของคุณอาจยังไม่หมดไป การรักษาความปลอดภัย MongoDB

ต้องเป็นไปได้ว่าผู้ดูแลระบบเซิร์ฟเวอร์ต้องกำหนดรหัสผ่านและชื่อผู้ใช้ที่เข้มงวดสำหรับการเข้าถึงฐานข้อมูล บริษัท ที่ใช้การติดตั้ง MongoDB เป็นค่าเริ่มต้นควรที่จะ

อัพเดตซอฟต์แวร์ , ตั้งค่าการตรวจสอบความถูกต้องและ ล็อกพอร์ต 27017 ซึ่งเป็นเป้าหมายสูงสุดโดยแฮกเกอร์ ขั้นตอนในการ ป้องกันข้อมูล MongoDB ของคุณ

บังคับใช้การควบคุมการเข้าถึงและการรับรองความถูกต้อง

1. เริ่มต้นด้วยการเปิดใช้งานการควบคุมการเข้าถึงเซิร์ฟเวอร์ของคุณและระบุกลไกการตรวจสอบสิทธิ์ การตรวจสอบความถูกต้องกำหนดให้ผู้ใช้ทั้งหมดให้ข้อมูลประจำตัวที่ถูกต้องก่อนที่จะสามารถเชื่อมต่อกับเซิร์ฟเวอร์ได้

MongoDB 3.4 ปล่อยให้คุณสามารถกำหนดค่าการตรวจสอบความถูกต้องไปยังระบบที่ไม่มีการป้องกันโดยไม่ต้องเสียเวลาในการทำงาน ตั้งค่าการควบคุมการเข้าใช้ตามบทบาท

1. แทนที่จะให้สิทธิ์การเข้าถึงแบบเต็มแก่กลุ่มผู้ใช้ให้สร้างบทบาทที่ กำหนดการเข้าถึงที่แน่นอนของความต้องการของผู้ใช้ ปฏิบัติตามหลักการอย่างน้อยที่สุด จากนั้นสร้างผู้ใช้และมอบหมายเฉพาะบทบาทที่จำเป็นในการดำเนินการเท่านั้น

เข้ารหัสการสื่อสาร

1. ข้อมูลที่เข้ารหัสลับเป็นการยากที่จะตีความและแฮกเกอร์ไม่มากสามารถถอดรหัสได้สำเร็จ กำหนดค่า MongoDB เพื่อใช้ TLS / SSL สำหรับการเชื่อมต่อขาเข้าและขาออกทั้งหมด ใช้ TLS / SSL เพื่อเข้ารหัสการสื่อสารระหว่างองค์ประกอบ mongod และ mongos ของไคลเอ็นต์ MongoDB รวมทั้งระหว่างแอ็พพลิเคชันทั้งหมดและ MongoDB

การใช้ MongoDB Enterprise 3.2 การเข้ารหัสพื้นเมืองที่เก็บข้อมูลของ WiredTiger ใน Rest สามารถกำหนดค่าเพื่อเข้ารหัสข้อมูลในที่จัดเก็บ ชั้น. หากคุณไม่ได้ใช้การเข้ารหัส WiredTiger ในตอนที่เหลือข้อมูล MongoDB ควรได้รับการเข้ารหัสในแต่ละโฮสต์โดยใช้ระบบไฟล์อุปกรณ์หรือการเข้ารหัสทางกายภาพ

จำกัด การรับเครือข่าย

1. เพื่อ จำกัด การรับเครือข่ายทำให้ MongoDB ทำงานในเครือข่ายที่เชื่อถือได้ สิ่งแวดล้อม ผู้ดูแลระบบควรอนุญาตเฉพาะไคลเอ็นต์ที่เชื่อถือได้เท่านั้นที่สามารถเข้าถึงอินเทอร์เฟซเครือข่ายและพอร์ตที่มีอินทราเน็ต MongoDB ได้

สำรองข้อมูลของคุณ

1. MongoDB Cloud Manager และ MongoDB Ops Manager ให้การสำรองข้อมูลอย่างต่อเนื่องพร้อมกับการกู้คืนจุดและการแจ้งเตือน ใน Cloud Manager เพื่อตรวจสอบว่าการติดตั้งใช้งานได้หรือไม่

ระบบตรวจสอบกิจกรรม

1. ระบบการตรวจสอบเป็นระยะ ๆ จะช่วยให้มั่นใจได้ว่าคุณมีความตระหนักในการเปลี่ยนแปลงฐานข้อมูลไม่สม่ำเสมอ ติดตามการเข้าถึงการกำหนดค่าฐานข้อมูลและข้อมูล MongoDB Enterprise ประกอบด้วยระบบการตรวจสอบระบบที่สามารถบันทึกเหตุการณ์ของระบบในอินสแตนซ์ MongoDB

เรียกใช้ MongoDB กับผู้ใช้เฉพาะ

1. เรียกใช้กระบวนการ MongoDB โดยใช้บัญชีผู้ใช้ระบบปฏิบัติการเฉพาะ ตรวจสอบให้แน่ใจว่าบัญชีมีสิทธิ์เข้าถึงข้อมูล แต่ไม่มีสิทธิ์ที่ไม่จำเป็น

เรียก MongoDB ด้วยตัวเลือกการกำหนดค่าความปลอดภัย

1. MongoDB สนับสนุนการดำเนินการโค้ด JavaScript สำหรับการดำเนินการฝั่งเซิร์ฟเวอร์บางอย่าง: mapReduce, group และ $ where ถ้าคุณไม่ใช้การดำเนินการเหล่านี้ให้ปิดใช้งานการเขียนสคริปต์ฝั่งเซิร์ฟเวอร์โดยใช้ตัวเลือก -noscripting ในบรรทัดคำสั่ง

ใช้เฉพาะโพรโทคอล MongoDB ในการปรับใช้การผลิต เปิดใช้งานการตรวจสอบความถูกต้องของอินพุตไว้ MongoDB ช่วยให้การตรวจสอบความถูกต้องของอินพุตโดยค่าเริ่มต้นผ่านการตั้งค่า wireObjectCheck เพื่อให้มั่นใจได้ว่าเอกสารทั้งหมดที่จัดเก็บโดย instance ของ mongod คือ BSON ที่ถูกต้อง

ขอรับคู่มือการติดตั้งด้านเทคนิคการรักษาความปลอดภัย (ถ้ามี)

1. คู่มือการติดตั้งด้านเทคนิคด้านความปลอดภัย (STIG) มีหลักเกณฑ์ด้านความปลอดภัยสำหรับการปรับใช้ภายในกระทรวงกลาโหมสหรัฐ. MongoDB Inc. จัดเตรียม STIG ตามคำขอสำหรับสถานการณ์ที่ต้องใช้ คุณสามารถขอสำเนาเพื่อขอข้อมูลเพิ่มเติม

พิจารณามาตรฐานความปลอดภัย

1. สำหรับการใช้งานที่ต้องการการปฏิบัติตามข้อกำหนดของ HIPAA หรือ PCI-DSS โปรดดูที่สถาปัตยกรรม MongoDB Security Architecture

ที่นี่ เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับวิธีที่คุณใช้ สามารถใช้ความสามารถในการรักษาความปลอดภัยหลักในการสร้างโครงสร้างพื้นฐานแอพพลิเคชันที่สอดคล้องกับข้อกำหนด วิธีการตรวจสอบว่าการติดตั้ง MongoDB ของคุณถูกแฮ็ก

ตรวจสอบฐานข้อมูลและคอลเล็กชันของคุณ แฮกเกอร์มักจะวางฐานข้อมูลและคอลเล็กชันและแทนที่ด้วยฐานข้อมูลใหม่และเรียกร้องค่าไถ่สำหรับ

• เดิมหากมีการเปิดใช้งานการควบคุมการเข้าใช้งานให้ตรวจสอบบันทึกของระบบเพื่อหาว่าไม่ได้รับอนุญาตหรือกิจกรรมที่น่าสงสัย ค้นหาคำสั่งที่ลดข้อมูลผู้ใช้ที่แก้ไขหรือสร้างบันทึกความต้องการไถ่ถอน
• โปรดทราบว่าไม่มีการรับประกันว่าข้อมูลของคุณจะได้รับการส่งคืนแม้หลังจากที่คุณจ่ายค่าไถ่แล้ว ดังนั้นการโพสต์การบุกรุกความสำคัญอันดับแรกของคุณควรมีการรักษาความปลอดภัยให้กับกลุ่มของคุณเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาติเพิ่มเติม

หากคุณทำการสำรองข้อมูลจากนั้นในขณะที่คุณเรียกคืนเวอร์ชันล่าสุดคุณสามารถประเมินว่าข้อมูลใดอาจมีการเปลี่ยนแปลงตั้งแต่ การสำรองข้อมูลล่าสุดและเวลาของการโจมตี สำหรับข้อมูลเพิ่มเติมคุณสามารถไปที่

mongodb.com .