MongoDB Security: proteger y proteger la base de datos MongoDB de Ransomware

Ransomware recientemente realizó algunas instalaciones de MongoDB no seguras y retuvo los datos para su rescate. Aquí veremos qué es MongoDB y veremos algunos pasos que puede seguir para proteger y proteger la base de datos MongoDB. Para empezar, aquí hay una breve introducción sobre MongoDB.

Qué es MongoDB

MongoDB es una base de datos de código abierto que almacena datos utilizando un modelo flexible de datos de documentos. MongoDB difiere de las bases de datos tradicionales que se construyen utilizando tablas y filas, mientras que MongoDB usa una arquitectura de colecciones y documentos.

Después de un diseño de esquema dinámico, MongoDB permite que los documentos en una colección tengan diferentes campos y estructuras. La base de datos usa un formato de almacenamiento de documentos e intercambio de datos llamado BSON, que proporciona una representación binaria de documentos similares a JSON. Esto hace que la integración de datos para ciertos tipos de aplicaciones sea más rápida y sencilla.

Ransomware ataca datos de MongoDB

Recientemente, Victor Gevers, un investigador de seguridad tuiteó que hubo una serie de ataques de Ransomware en instalaciones MongoDB mal aseguradas. Los ataques comenzaron en diciembre pasado alrededor de la Navidad de 2016 y desde entonces infectaron miles de servidores MongoDB.

Inicialmente, Victor descubrió 200 instalaciones de MongoDB que fueron atacadas y retenidas a cambio de un rescate. Sin embargo, pronto las instalaciones infectadas se dispararon a 2000 DB según lo informado por otro investigador de seguridad, Shodan Fundador John Matherly, y para el final de la 1 ^st semana de 2017, el número de los sistemas comprometidos fueron más de 27,000.

Ransom demandó

Los informes iniciales sugirieron que los atacantes demandaban 0.2 Bitcoins (aproximadamente US $ 184) como rescate, que fueron pagados por 22 víctimas. Actualmente, los atacantes han aumentado el monto del rescate y ahora están demandando 1 Bitcoin (aproximadamente 906 USD).

Desde la divulgación, los investigadores de seguridad han identificado a más de 15 hackers involucrados en el secuestro de servidores MongoDB. Entre ellos, un atacante que usa el identificador de correo electrónico kraken0 ha comprometido más de 15,482 servidores MongoDB y exige 1 bitcoin para devolver los datos perdidos.

Hasta ahora, los servidores MongoDB secuestrados han crecido más de 28,000 ya que más hackers también están haciendo lo mismo, accediendo, copiando y eliminando bases de datos mal configuradas para Ransom. Además, Kraken, un grupo que participó anteriormente en la distribución de Windows Ransomware, se ha unido también.

¿Cómo se puede colar el MongoDB Ransomware en

servidores MongoDB a los que se puede acceder a través de Internet sin una contraseña? los que son atacados por los piratas informáticos. Por lo tanto, los administradores de servidores que eligieron ejecutar sus servidores sin una contraseña y emplearon nombres de usuario predeterminados fueron detectados fácilmente por los piratas informáticos.

Lo que es peor, hay instancias del mismo servidor hackeado de nuevo por diferentes grupos de hackers que han reemplazado las notas de rescate existentes por las suyas, lo que hace imposible que las víctimas sepan si están pagando al delincuente correcto, y mucho menos si pueden recuperar sus datos. Por lo tanto, no hay certeza si se devolverá alguno de los datos robados. Por lo tanto, incluso si pagó el rescate, sus datos aún pueden desaparecer.

MongoDB security

Es imprescindible que los Administradores del servidor asignen una contraseña segura y un nombre de usuario para acceder a la base de datos. También se recomienda a las empresas que usan la instalación predeterminada de MongoDB que actualicen su software , establezcan la autenticación y bloqueen el puerto 27017 que ha sido el más atacado por los hackers.

Pasos a proteja sus datos de MongoDB

1. Exija el control de acceso y la autenticación

Comience habilitando el control de acceso de su servidor y especifique el mecanismo de autenticación. La autenticación requiere que todos los usuarios proporcionen credenciales válidas antes de que puedan conectarse al servidor.

La última versión de MongoDB 3.4 le permite configurar la autenticación a un sistema desprotegido sin incurrir en tiempo de inactividad.

1. Configuración de control de acceso basado en roles

En lugar de proporcionar acceso completo a un conjunto de usuarios, cree roles que definir el acceso exacto a un conjunto de necesidades de los usuarios. Sigue un principio de menor privilegio. Luego cree usuarios y asígneles solo los roles que necesitan para realizar sus operaciones.

1. Cifrar comunicación

Los datos encriptados son difíciles de interpretar, y no muchos hackers pueden descifrarlos con éxito. Configure MongoDB para usar TLS / SSL para todas las conexiones entrantes y salientes. Utilice TLS / SSL para cifrar la comunicación entre los componentes mongod y mongos de un cliente MongoDB, así como entre todas las aplicaciones y MongoDB.

Usando MongoDB Enterprise 3.2, el cifrado nativo en reposo del motor de almacenamiento WiredTiger puede configurarse para cifrar datos en el almacenamiento capa. Si no utiliza el cifrado de WiredTiger en reposo, los datos de MongoDB deben cifrarse en cada host utilizando el sistema de archivos, el dispositivo o el cifrado físico.

1. Limitar exposición de red

Limitar la exposición a la red. Asegurar que MongoDB se ejecute en una red confiable ambiente. Los administradores solo deben permitir que los clientes de confianza accedan a las interfaces de red y puertos en los que están disponibles las instancias de MongoDB.

1. Haga una copia de seguridad de sus datos

MongoDB Cloud Manager y MongoDB Ops Manager brindan respaldo continuo con recuperación puntual y los usuarios pueden habilitar alertas en Cloud Manager para detectar si su implementación está expuesta a Internet

1. Actividad de sistema de auditoría

Los sistemas de auditoría periódicamente le asegurarán que conoce cualquier cambio irregular en su base de datos. Rastree el acceso a las configuraciones y datos de la base de datos. MongoDB Enterprise incluye una instalación de auditoría del sistema que puede registrar eventos del sistema en una instancia de MongoDB.

1. Ejecutar MongoDB con un usuario dedicado

Ejecutar procesos de MongoDB con una cuenta de usuario del sistema operativo dedicado. Asegúrese de que la cuenta tenga permisos para acceder a los datos, pero no permisos innecesarios.

1. Ejecute MongoDB con opciones de configuración segura

MongoDB admite la ejecución de código JavaScript para ciertas operaciones del lado del servidor: mapReduce, group y $ where. Si no utiliza estas operaciones, desactive las secuencias de comandos del lado del servidor utilizando la opción -noscripting en la línea de comandos.

Use solo el protocolo de conexión MongoDB en las implementaciones de producción. Mantenga la validación de entrada habilitada. MongoDB permite la validación de entrada por defecto a través de la configuración wireObjectCheck. Esto garantiza que todos los documentos almacenados por la instancia de mongod sean válidos.

1. Solicite una guía de implementación técnica de seguridad (cuando corresponda)

La Guía de implementación técnica de seguridad (STIG) contiene pautas de seguridad para despliegues dentro del Departamento de Defensa de los Estados Unidos. MongoDB Inc. proporciona su STIG, previa solicitud, para las situaciones en que se requiera. Puede solicitar una copia para obtener más información.

1. Considere el cumplimiento de estándares de seguridad

Para aplicaciones que requieren conformidad con HIPAA o PCI-DSS, consulte la arquitectura de referencia de seguridad de MongoDB aquí para obtener más información acerca de cómo puede usar las capacidades clave de seguridad para construir una infraestructura de aplicaciones compatible.

Cómo saber si su instalación de MongoDB está hackeada

• Verifique sus bases de datos y colecciones. Los hackers generalmente eliminan las bases de datos y las colecciones y las reemplazan por otras nuevas mientras exigen un rescate por el
• original. Si el control de acceso está habilitado, audite los registros del sistema para detectar intentos de acceso no autorizado o actividad sospechosa. Busque los comandos que omitieron sus datos, modificaron usuarios o crearon el registro de demanda de rescate.

Tenga en cuenta que no hay garantía de que sus datos serán devueltos incluso después de haber pagado el rescate. Por lo tanto, después del ataque, su primera prioridad debería ser proteger su (s) clúster (es) para evitar más accesos no autorizados.

Si toma copias de seguridad, entonces en el momento de restaurar la versión más reciente, puede evaluar qué datos pueden haber cambiado desde la copia de seguridad más reciente y el momento del ataque. Para obtener más información, puede visitar mongodb.com .