MongoDB-Sicherheit: MongoDB-Datenbank vor Ransomware sichern und schützen

Ransomware hat kürzlich einige ungesicherte MongoDB-Installationen gestartet und die Daten als Lösegeld gespeichert. Hier sehen Sie, was MongoDB ist und welche Schritte Sie unternehmen können, um die MongoDB-Datenbank zu sichern und zu schützen. Im Folgenden finden Sie eine kurze Einführung in MongoDB.

Was ist MongoDB

MongoDB ist eine Open-Source-Datenbank, die Daten mit einem flexiblen Dokumentendatenmodell speichert. MongoDB unterscheidet sich von herkömmlichen Datenbanken, die mit Tabellen und Zeilen erstellt werden, während MongoDB eine Architektur von Sammlungen und Dokumenten verwendet.

MongoDB ermöglicht einem dynamischen Schemadesign, dass die Dokumente in einer Sammlung verschiedene Felder und Strukturen haben. Die Datenbank verwendet ein Dokumentspeicher- und Datenaustauschformat namens BSON, das eine binäre Darstellung von JSON-ähnlichen Dokumenten bereitstellt. Dies macht die Datenintegration für bestimmte Arten von Anwendungen schneller und einfacher.

Ransomware greift MongoDB-Daten an

Kürzlich twitterte ein Sicherheitsforscher, Victor Gevers, dass es eine Reihe von Ransomware-Angriffen auf schlecht gesicherte MongoDB-Installationen gab. Die Angriffe begannen letzten Dezember um Weihnachten 2016 und haben seitdem Tausende von MongoDB-Servern infiziert.

Anfangs entdeckte Victor 200 MongoDB-Installationen, die angegriffen und für Lösegeld gehalten wurden. Bald darauf stiegen die infizierten Installationen jedoch auf 2000 DBs an, wie von einem anderen Sicherheitsforscher, dem Gründer von Shodan, John Matherly, berichtet wurde, und am Ende der 1 ^{. st} Woche 2017 betrug die Anzahl der kompromittierten Systeme mehr als 27.000.

Lösegeld gefordert

Erste Berichte deuten darauf hin, dass Angreifer 0,2 Bitcoins (ca. US $ 184) als Lösegeld forderten, das von 22 Opfern bezahlt wurde. Derzeit haben die Angreifer den Lösegeldbetrag erhöht und fordern nun 1 Bitcoin (ca. 906 USD).

Seit der Veröffentlichung haben die Sicherheitsforscher mehr als 15 Hacker identifiziert, die an der Entführung von MongoDB-Servern beteiligt waren. Unter diesen hat ein Angreifer mit dem E-Mail-Handle kraken0 mehr als 15.482 MongoDB-Server kompromittiert und verlangt 1 Bitcoin, um die verlorenen Daten zurückzugeben.

Bis jetzt sind entführte MongoDB-Server gewachsen über 28.000, da immer mehr Hacker dasselbe tun - indem sie schlecht konfigurierte Datenbanken für Ransom aufrufen, kopieren und löschen. Darüber hinaus hat sich auch Kraken, eine Gruppe, die bisher mit dem Vertrieb von Windows Ransomware beschäftigt war, angeschlossen.

Wie schleicht sich die MongoDB Ransomware in

MongoDB Server ein, die ohne Passwort über das Internet erreichbar sind diejenigen, die von den Hackern angegriffen werden. Daher wurden Serveradministratoren, die ihre Server ohne ein Passwort und Standardbenutzernamen verwendeten, von den Hackern leicht erkannt.

Was noch schlimmer ist, es gibt Instanzen desselben Servers von verschiedenen Hacker-Gruppen erneut gehackt, die bereits vorhandene Lösegeldanmeldungen durch eigene ersetzt haben, so dass Opfer nicht mehr wissen können, ob sie den richtigen Kriminellen bezahlen, geschweige denn, ob ihre Daten wiederhergestellt werden können. Daher ist es nicht sicher, ob die gestohlenen Daten zurückgegeben werden. Selbst wenn Sie das Lösegeld bezahlt haben, sind Ihre Daten möglicherweise noch immer verschwunden.

MongoDB-Sicherheit

Es ist ein Muss, dass Serveradministratoren ein starkes Passwort und einen Benutzernamen für den Zugriff auf die Datenbank zuweisen müssen. Unternehmen, die die Standardinstallation von MongoDB verwenden, sollten auch ihre Software aktualisieren , Authentifizierung einrichten und den Port 27017 sperren, der von den Hackern am häufigsten angegriffen wurde.

Schritte zu Schützen Sie Ihre MongoDB-Daten

1. Erzwingen Sie die Zugriffssteuerung und Authentifizierung

Starten Sie, indem Sie die Zugriffssteuerung Ihres Servers aktivieren und den Authentifizierungsmechanismus angeben. Für die Authentifizierung müssen alle Benutzer gültige Anmeldeinformationen angeben, bevor sie eine Verbindung zum Server herstellen können.

Mit der neuesten Version MongoDB 3.4 können Sie die Authentifizierung für ein ungeschütztes System ohne Ausfallzeiten konfigurieren.

1. Einrichten der rollenbasierten Zugriffssteuerung

Erstellen Sie Rollen, die nicht den vollen Zugriff auf eine Gruppe von Benutzern ermöglichen Definieren Sie den genauen Zugriff auf die Bedürfnisse eines Benutzers. Folge einem Prinzip des geringsten Privilegs. Erstellen Sie dann Benutzer und weisen Sie ihnen nur die Rollen zu, die sie für ihre Operationen benötigen.

1. Kommunikation verschlüsseln

Verschlüsselte Daten sind schwer zu interpretieren, und nicht viele Hacker können sie erfolgreich entschlüsseln. Konfigurieren Sie MongoDB für die Verwendung von TLS / SSL für alle eingehenden und ausgehenden Verbindungen. Verwenden Sie TLS / SSL zum Verschlüsseln der Kommunikation zwischen mongod- und mongos-Komponenten eines MongoDB-Clients sowie zwischen allen Anwendungen und MongoDB.

Mit MongoDB Enterprise 3.2 kann die native Verschlüsselung im Ruhezustand der WiredTiger-Speicher-Engine so konfiguriert werden, dass Daten im Speicher verschlüsselt werden Schicht. Wenn Sie die Verschlüsselung von WiredTiger nicht im Ruhezustand verwenden, sollten die MongoDB-Daten auf jedem Host mit Dateisystem-, Geräte- oder physischer Verschlüsselung verschlüsselt werden.

1. Netzwerkbelastung begrenzen

Um die Netzwerkbelastung zu begrenzen, stellen Sie sicher, dass MongoDB in einem vertrauenswürdigen Netzwerk läuft Umgebung. Administratoren sollten nur vertrauenswürdigen Clients den Zugriff auf die Netzwerkschnittstellen und Ports ermöglichen, auf denen MongoDB-Instanzen verfügbar sind.

1. Sichern Sie Ihre Daten

MongoDB Cloud Manager und MongoDB Ops Manager bieten kontinuierliche Sicherung mit Zeitpunktwiederherstellung und Benutzer können Warnungen aktivieren in Cloud Manager, um zu erkennen, ob ihre Bereitstellung im Internet verfügbar ist

1. Systemaktivität prüfen

Durch regelmäßige Überwachung von Systemen wird sichergestellt, dass Sie über irreguläre Änderungen Ihrer Datenbank informiert sind. Verfolgen Sie den Zugriff auf Datenbankkonfigurationen und Daten. MongoDB Enterprise enthält eine Systemüberwachungsfunktion, die Systemereignisse in einer MongoDB-Instanz aufzeichnen kann.

1. MongoDB mit einem dedizierten Benutzer ausführen

Führen Sie MongoDB-Prozesse mit einem dedizierten Betriebssystembenutzerkonto aus. Stellen Sie sicher, dass das Konto Berechtigungen für den Zugriff auf Daten, aber keine unnötigen Berechtigungen besitzt.

1. MongoDB mit sicheren Konfigurationsoptionen ausführen

MongoDB unterstützt die Ausführung von JavaScript-Code für bestimmte serverseitige Operationen: mapReduce, group und $ where. Wenn Sie diese Operationen nicht verwenden, deaktivieren Sie das serverseitige Scripting mithilfe der Option -noscripting in der Befehlszeile.

Verwenden Sie in Produktionsbereitstellungen nur das MongoDB-Drahtprotokoll. Halten Sie die Eingabevalidierung aktiviert. MongoDB aktiviert die Eingabeüberprüfung standardmäßig über die Einstellung wireObjectCheck. Dies stellt sicher, dass alle Dokumente, die von der mongod-Instanz gespeichert werden, BSON gültig sind.

1. Anfordern eines technischen Sicherheitsleitfadens (falls zutreffend)

Das Security Technical Implementation Guide (STIG) enthält Sicherheitsrichtlinien für Bereitstellungen im Verteidigungsministerium der Vereinigten Staaten. MongoDB Inc. stellt seinen STIG auf Anfrage für Situationen zur Verfügung, in denen dies erforderlich ist. Sie können eine Kopie anfordern, um weitere Informationen zu erhalten.

1. Berücksichtigen Sie die Einhaltung von Sicherheitsstandards

Für Anwendungen, die HIPAA- oder PCI-DSS-Konformität erfordern, finden Sie in der MongoDB-Sicherheitsreferenzarchitektur hier weitere Informationen kann die wichtigsten Sicherheitsfunktionen zum Erstellen einer kompatiblen Anwendungsinfrastruktur verwenden.

Wie Sie herausfinden können, ob Ihre MongoDB-Installation gehackt wurde

• Überprüfen Sie Ihre Datenbanken und Sammlungen. Die Hacker löschen normalerweise Datenbanken und Sammlungen und ersetzen sie durch eine neue, während sie ein Lösegeld für das Original anfordern.
• Wenn die Zugriffssteuerung aktiviert ist, überprüfen Sie die Systemprotokolle, um nach unbefugten Zugriffsversuchen oder verdächtigen Aktivitäten zu suchen. Suchen Sie nach Befehlen, mit denen Sie Ihre Daten gelöscht, Benutzer geändert oder den Lösegeldbedarfsdatensatz erstellt haben.

Beachten Sie, dass es keine Garantie dafür gibt, dass Ihre Daten auch nach Zahlung des Lösegelds zurückgegeben werden. Nach dem Angriff sollte Ihre erste Priorität daher sein, Ihre Cluster zu sichern, um weiteren unbefugten Zugriff zu verhindern.

Wenn Sie Backups erstellen, können Sie zu dem Zeitpunkt, zu dem Sie die neueste Version wiederherstellen, auswerten, welche Daten sich seitdem geändert haben das letzte Backup und die Uhrzeit des Angriffs. Für mehr, können Sie besuchenmongodb.com .