Android

Segurança do MongoDB: Proteger e proteger o banco de dados MongoDB do Ransomware

LIVE - Veritas - Sua empresa está protegida de um ataque de ransomware ?

LIVE - Veritas - Sua empresa está protegida de um ataque de ransomware ?

Índice:

Anonim

O Ransomware recentemente encontrou algumas instalações do MongoDB não protegidas e reteve os dados para resgate. Aqui veremos o que é o MongoDB e dê uma olhada em algumas etapas que você pode tomar para proteger e proteger o banco de dados MongoDB. Para começar, aqui está uma breve introdução sobre o MongoDB.

O que é o MongoDB

O MongoDB é um banco de dados de código-fonte aberto que armazena dados usando um modelo de dados de documento flexível. O MongoDB difere dos bancos de dados tradicionais que são construídos usando tabelas e linhas, enquanto o MongoDB usa uma arquitetura de coleções e documentos.

Após um projeto de esquema dinâmico, o MongoDB permite que os documentos em uma coleção tenham campos e estruturas diferentes. O banco de dados usa um formato de armazenamento de documentos e intercâmbio de dados chamado BSON, que fornece uma representação binária de documentos semelhantes a JSON. Isso torna a integração de dados para certos tipos de aplicativos mais rápida e fácil.

Ransomware ataca dados do MongoDB

Recentemente, Victor Gevers, um pesquisador de segurança, twittou que havia uma série de ataques do Ransomware em instalações do MongoDB mal protegidas. Os ataques começaram em dezembro do ano passado e, desde então, infectaram milhares de servidores do MongoDB.

Inicialmente, Victor descobriu 200 instalações do MongoDB que foram atacadas e mantidas como resgate. No entanto, logo as instalações infectadas aumentaram para 2000 DBs, conforme relatado por outro pesquisador de segurança, o fundador da Shodan, John Matherly, e até o final da semana de 2017, o número de sistemas comprometidos era de mais de 27.000. O resgate exigiu Os relatórios iniciais sugeriam que os agressores exigiam 0,2 Bitcoins (cerca de US $ 184) como resgate que foi pago por 22 vítimas. Atualmente, os atacantes aumentaram o valor do resgate e agora estão exigindo 1 Bitcoin (aproximadamente 906 USD).

Desde a divulgação, os pesquisadores de segurança identificaram mais de 15 hackers envolvidos no sequestro de servidores MongoDB. Entre eles, um invasor que usa e-mail manipula

kraken0

tem comprometido mais de 15.482 servidores MongoDB e está exigindo 1 Bitcoin para retornar os dados perdidos. Até agora, os servidores sequestrados do MongoDB aumentaram mais de 28.000, à medida que mais hackers também fazem o mesmo - acessando, copiando e excluindo bancos de dados mal configurados para o Ransom. Além disso, o Kraken, um grupo que já esteve envolvido na distribuição do Windows Ransomware, também se juntou ao Como o MongoDB Ransomware entra nos

servidores MongoDB que são acessíveis pela Internet sem uma senha? aqueles que são alvo dos hackers. Assim, os Administradores de Servidores que escolheram executar seus servidores

sem uma senha

e usaram nomes de usuário padrão foram facilmente detectados pelos hackers. O que é pior, existem instâncias do mesmo servidor sendo re-hackeado por diferentes grupos de hackers

que substituem as notas de resgate existentes, tornando impossível que as vítimas saibam se estão pagando o criminoso certo, muito menos se seus dados podem ser recuperados. Portanto, não há certeza se algum dos dados roubados será retornado. Portanto, mesmo se você pagou o resgate, seus dados ainda podem ter desaparecido. Segurança do MongoDB É necessário que os administradores de servidor atribuam uma senha e um nome de usuário fortes para acessar o banco de dados. As empresas que usam a instalação padrão do MongoDB também são aconselhadas a

atualizar seu software

, configurar autenticação e bloquear a porta 27017 que foi mais procurada pelos hackers. Etapas para proteja seus dados do MongoDB Aplicar Controle de Acesso e Autenticação

Iniciar Ativando o controle de acesso do seu servidor e especifique o mecanismo de autenticação. A autenticação requer que todos os usuários forneçam credenciais válidas antes que possam se conectar ao servidor.

  1. A versão mais recente do

MongoDB 3.4

permite configurar a autenticação em um sistema desprotegido sem incorrer em tempo de inatividade. Configurar Controle de Acesso Baseado em Função Em vez de fornecer acesso total a um conjunto de usuários, crie funções que definir o acesso exato a um conjunto de necessidades dos usuários. Siga um princípio de menor privilégio. Em seguida, crie usuários e atribua a eles apenas as funções necessárias para executar suas operações.

  1. Criptografar a comunicação

Os dados criptografados são difíceis de interpretar e não são muitos os hackers que podem decodificá-los com êxito. Configure o MongoDB para usar o TLS / SSL para todas as conexões de entrada e saída. Use TLS / SSL para criptografar a comunicação entre os componentes mongod e mongos de um cliente MongoDB, bem como entre todos os aplicativos e o MongoDB.

  1. Usando o MongoDB Enterprise 3.2, a criptografia nativa em repouso do mecanismo de armazenamento WiredTiger pode ser configurada para criptografar dados no armazenamento camada. Se você não estiver usando a criptografia do WiredTiger em repouso, os dados do MongoDB deverão ser criptografados em cada host usando sistema de arquivos, dispositivo ou criptografia física.

Limitar exposição à rede

Para limitar a exposição à rede, verifique se o MongoDB é executado em uma rede confiável meio Ambiente. Os administradores devem permitir que apenas clientes confiáveis ​​acessem as interfaces de rede e portas nas quais as instâncias do MongoDB estão disponíveis.

  1. Backup dos dados

MongoDB Cloud Manager e MongoDB Ops Manager fornecem backup contínuo com recuperação point in time e os usuários podem habilitar alertas no Cloud Manager para detectar se sua implantação está exposta à Internet

  1. Atividade do Sistema de Auditoria

Os sistemas de auditoria periodicamente garantirão que você esteja ciente de quaisquer alterações irregulares em seu banco de dados. Rastreie o acesso a configurações e dados do banco de dados. O MongoDB Enterprise inclui um recurso de auditoria de sistemas que pode registrar eventos do sistema em uma instância do MongoDB

  1. Executar o MongoDB com um Usuário Dedicado

Executar processos do MongoDB com uma conta de usuário do sistema operacional dedicada. Certifique-se de que a conta tenha permissões para acessar dados, mas sem permissões desnecessárias

  1. Executar MongoDB com Opções de Configuração de Segurança

O MongoDB suporta a execução do código JavaScript para determinadas operações do lado do servidor: mapReduce, group e $ where. Se você não usar essas operações, desabilite o script do lado do servidor usando a opção -noscripting na linha de comando.

  1. Use somente o protocolo wire do MongoDB em implantações de produção. Mantenha a validação de entrada ativada. O MongoDB ativa a validação de entrada por padrão por meio da configuração wireObjectCheck. Isso garante que todos os documentos armazenados pela instância mongod sejam válidos para o BSON

Solicitar um Guia de Implementação Técnico de Segurança (quando aplicável)

O Guia de Implementação Técnica de Segurança (STIG) contém diretrizes de segurança para implantações no Departamento de Defesa dos Estados Unidos.. A MongoDB Inc. fornece seu STIG, mediante solicitação, para situações em que é necessário. Você pode solicitar uma cópia para obter mais informações.

  1. Considere a conformidade dos padrões de segurança

Para aplicativos que exigem conformidade com HIPAA ou PCI-DSS, consulte a Arquitetura de referência de segurança do MongoDB

  1. aqui

para saber mais sobre como você É possível usar os principais recursos de segurança para criar uma infraestrutura de aplicativos compatíveis. Como descobrir se a instalação do MongoDB foi invadida Verifique seus bancos de dados e coleções. Os hackers geralmente descartam bancos de dados e coleções e os substituem por um novo, enquanto exigem um resgate para o

original. Se o controle de acesso estiver habilitado, audite os logs do sistema para descobrir tentativas de acesso não autorizado ou atividades suspeitas. Procure comandos que baixaram seus dados, modificaram usuários ou criaram o registro de demanda de resgate.

  • Observe que não há garantia de que seus dados serão retornados mesmo depois de você ter pago o resgate. Assim, após o ataque, sua primeira prioridade deve ser proteger seu cluster (s) para evitar acesso não autorizado.
  • Se você fizer backups, no momento da restauração da versão mais recente, você poderá avaliar quais dados podem ter sido alterados desde o backup mais recente e o tempo do ataque. Para mais, você pode visitar

mongodb.com

.