Sécurité MongoDB: sécuriser et protéger la base de données MongoDB de Ransomware

Ransomware a récemment frappé certaines installations MongoDB non sécurisées et a tenu les données à rançonner. Ici, nous allons voir ce qui est MongoDB et jetez un oeil à quelques étapes que vous pouvez suivre pour sécuriser et protéger la base de données MongoDB. Pour commencer, voici une brève introduction sur MongoDB

Qu`est-ce que MongoDB

MongoDB est une base de données open source qui stocke des données en utilisant un modèle de données de document flexible. MongoDB diffère des bases de données traditionnelles qui sont construites en utilisant des tables et des lignes, alors que MongoDB utilise une architecture de collections et de documents.

Suivant une conception de schéma dynamique, MongoDB permet aux documents d`une collection d`avoir différents champs et structures. La base de données utilise un format de stockage de documents et d`échange de données appelé BSON, qui fournit une représentation binaire des documents de type JSON. Cela rend l`intégration de données pour certains types d`applications plus rapide et plus facile.

Ransomware attaque les données MongoDB

Récemment, Victor Gevers, un chercheur en sécurité a tweeté qu`il y avait une série d`attaques Ransomware sur des installations MongoDB mal sécurisées. Les attaques ont commencé en décembre dernier autour de Noël 2016 et ont depuis infecté des milliers de serveurs MongoDB.

Initialement, Victor a découvert 200 installations MongoDB qui ont été attaquées et détenues pour obtenir une rançon. Cependant, bientôt les installations infectées ont grimpé à 2000 DB comme rapporté par un autre chercheur en sécurité, le fondateur de Shodan John Matherly, et à la fin de la 1 ^st semaine de 2017, le nombre de systèmes compromis était de plus de 27 000

Une demande de rançon

Selon les premiers rapports, les attaquants exigeaient 0.2 Bitcoins (environ 184 $ US) comme rançon, qui a été payée par 22 victimes. Actuellement, les attaquants ont augmenté le montant de la rançon et exigent maintenant 1 Bitcoin (environ 906 USD).

Depuis la divulgation, les chercheurs en sécurité ont identifié plus de 15 pirates impliqués dans le détournement de serveurs MongoDB. Parmi eux, un attaquant utilisant un email kraken0 a compromis plus de 15 482 serveurs MongoDB et demande 1 Bitcoin pour renvoyer les données perdues.

Jusqu`à présent, les serveurs MongoDB détournés ont augmenté Plus de 28 000 hackers font de même - accéder, copier et supprimer des bases de données mal configurées pour Ransom. En outre, Kraken, un groupe qui a déjà été impliqué dans la distribution de Windows Ransomware, y a également participé.

Comment le MongoDB Ransomware se faufile-t-il dans les serveurs MongoDB

accessibles via Internet sans mot de passe? ceux qui sont ciblés par les pirates. Par conséquent, les administrateurs de serveur qui ont choisi d`exécuter leurs serveurs sans mot de passe et les utilisateurs ont été facilement repérés par les pirates.

Pire encore, il existe des instances du même serveur ont été piratés par différents groupes de hackers qui ont remplacé les notes de rançon existantes par les leurs, ce qui empêche les victimes de savoir si elles payent le bon criminel, et encore moins si leurs données peuvent être récupérées. Par conséquent, il n`y a aucune certitude si l`une des données volées sera retournée. Par conséquent, même si vous avez payé la rançon, vos données peuvent encore être supprimées

Sécurité MongoDB

Les administrateurs de serveur doivent impérativement attribuer un mot de passe fort et un nom d`utilisateur pour accéder à la base de données. Les entreprises utilisant l`installation par défaut de MongoDB sont également invitées à mettre à jour leur logiciel , configurer l`authentification et verrouiller le port 27017 qui a été le plus ciblé par les pirates.

Étapes à suivre Protégez vos données MongoDB

1. Appliquer le contrôle d`accès et l`authentification

Commencez par Activer le contrôle d`accès de votre serveur et spécifiez le mécanisme d`authentification. l`authentification nécessite que tous les utilisateurs fournissent des informations d`identification valides avant de pouvoir se connecter au serveur.

La dernière version MongoDB 3.4 vous permet de configurer l`authentification sur un système non protégé sans interruption.

1. Configurer le contrôle d`accès basé sur le rôle

Plutôt que de fournir un accès complet à un ensemble d`utilisateurs définir l`accès exact à un ensemble de besoins des utilisateurs. Suivez un principe de moindre privilège. Créez ensuite des utilisateurs et attribuez-leur uniquement les rôles dont ils ont besoin pour effectuer leurs opérations

1. Crypter la communication

Les données cryptées sont difficiles à interpréter, et peu de hackers sont capables de les déchiffrer avec succès. Configurez MongoDB pour utiliser TLS / SSL pour toutes les connexions entrantes et sortantes. Utilisez TLS / SSL pour chiffrer la communication entre les composants mongod et mongos d`un client MongoDB ainsi qu`entre toutes les applications et MongoDB

En utilisant MongoDB Enterprise 3.2, le chiffrement natif du moteur de stockage WiredTiger peut être configuré pour chiffrer les données dans le stockage couche. Si vous n`utilisez pas le cryptage WiredTiger au repos, les données MongoDB doivent être cryptées sur chaque hôte en utilisant un système de fichiers, un périphérique ou un cryptage physique.

1. Limiter l`exposition réseau

Pour limiter l`exposition réseau, assurez-vous que MongoDB fonctionne sur un réseau sécurisé. environnement. Les administrateurs doivent autoriser uniquement les clients approuvés à accéder aux interfaces réseau et aux ports sur lesquels des instances MongoDB sont disponibles

1. Sauvegardez vos données

MongoDB Cloud Manager et MongoDB Ops Manager fournissent une sauvegarde continue avec une récupération ponctuelle, et les utilisateurs peuvent activer les alertes dans Cloud Manager pour détecter si leur déploiement est exposé à Internet

1. Activité du système d`audit

Les systèmes d`audit vérifient périodiquement que vous avez connaissance de modifications irrégulières de votre base de données. Suivre l`accès aux configurations et aux données de la base de données. MongoDB Enterprise inclut une fonction d`audit du système qui peut enregistrer les événements système sur une instance MongoDB

1. Exécuter MongoDB avec un utilisateur dédié

Exécuter les processus MongoDB avec un compte d`utilisateur dédié au système d`exploitation. Assurez-vous que le compte dispose d`autorisations pour accéder aux données mais pas d`autorisations inutiles

1. Exécuter MongoDB avec les options de configuration sécurisées

MongoDB prend en charge l`exécution du code JavaScript pour certaines opérations côté serveur: mapReduce, group et $ where. Si vous n`utilisez pas ces opérations, désactivez les scripts côté serveur à l`aide de l`option -noscripting sur la ligne de commande

Utilisez uniquement le protocole fil MongoDB sur les déploiements de production. Gardez la validation d`entrée activée. MongoDB active la validation des entrées par défaut via le paramètre wireObjectCheck. Ceci garantit que tous les documents stockés par l`instance mongod sont valides.

1. Demander un guide d`implémentation technique de sécurité (le cas échéant)

Le Guide d`implémentation technique de sécurité (STIG) contient des consignes de sécurité pour les déploiements.. MongoDB Inc. fournit sa STIG, sur demande, pour les situations où cela est requis.

1. Tenir compte de la conformité aux normes de sécurité

Pour les applications nécessitant une conformité HIPAA ou PCI-DSS, veuillez vous reporter à l`architecture de référence de sécurité MongoDB ici pour en savoir plus. peut utiliser les capacités de sécurité clés pour construire une infrastructure d`application conforme.

Comment savoir si votre installation MongoDB est piratée

• Vérifiez vos bases de données et vos collections. Les hackers déposent généralement les bases de données et les collections et les remplacent par un nouveau en exigeant une rançon pour le
• original. Si le contrôle d`accès est activé, auditez les journaux système pour rechercher des tentatives d`accès non autorisées ou des activités suspectes. Recherchez les commandes qui ont supprimé vos données, modifié les utilisateurs ou créé l`enregistrement de demande de rançon.

Notez qu`il n`y a aucune garantie que vos données seront renvoyées même après avoir payé la rançon. Par conséquent, après une attaque, votre première priorité devrait être de sécuriser votre cluster (s) pour empêcher tout autre accès non autorisé.

Si vous effectuez des sauvegardes, au moment de restaurer la version la plus récente, vous pouvez évaluer quelles données ont changé depuis la sauvegarde la plus récente et l`heure de l`attaque. Pour en savoir plus, vous pouvez visiter mongodb.com .