Keamanan MongoDB: Mengamankan dan melindungi basis data MongoDB dari Ransomware

Ransomware baru-baru ini menyerang beberapa instalasi MongoDB yang tidak aman dan menyimpan data untuk tebusan. Di sini kita akan melihat apa yang MongoDB dan lihat beberapa langkah yang dapat Anda ambil untuk mengamankan dan melindungi basis data MongoDB. Untuk memulainya, berikut ini adalah pengantar singkat tentang MongoDB.

Apa itu MongoDB

MongoDB adalah basis data sumber terbuka yang menyimpan data menggunakan model data dokumen yang fleksibel. MongoDB berbeda dari database tradisional yang dibangun menggunakan tabel dan baris, sedangkan, MongoDB menggunakan arsitektur koleksi dan dokumen.

Mengikuti desain skema dinamis, MongoDB memungkinkan dokumen dalam koleksi memiliki berbagai bidang dan struktur. Basis data menggunakan penyimpanan dokumen dan format pertukaran data yang disebut BSON, yang menyediakan representasi biner dokumen mirip JSON. Ini membuat integrasi data untuk jenis aplikasi tertentu lebih cepat dan mudah. ​​

Ransomware menyerang data MongoDB

Baru-baru ini, Victor Gevers, seorang peneliti keamanan tweeted bahwa ada serangkaian serangan Ransomware pada instalasi MongoDB yang tidak aman. Serangan dimulai Desember lalu sekitar Natal 2016 dan sejak itu telah menginfeksi ribuan server MongoDB.

Awalnya, Victor menemukan 200 instalasi MongoDB yang diserang dan ditahan untuk tebusan. Namun, segera instalasi yang terinfeksi melonjak menjadi 2000 DB seperti yang dilaporkan oleh peneliti keamanan lain, Pendiri Shodan, John Matherly, dan pada akhir minggu 1 ^st tahun 2017, jumlah sistem yang disusupi lebih dari 27.000.

Uang tebusan yang diminta

Laporan awal menyatakan, bahwa penyerang menuntut 0,2 Bitcoin (sekitar US $ 184) sebagai tebusan yang dibayarkan oleh 22 korban. Saat ini, para penyerang telah meningkatkan jumlah tebusan dan sekarang menuntut 1 Bitcoin (Sekitar 906 USD).

Sejak pengungkapan tersebut, para peneliti keamanan telah mengidentifikasi lebih dari 15 peretas yang terlibat dalam pembajakan server MongoDB. Di antara mereka, penyerang yang menggunakan alamat email kraken0 telah menyusupi lebih dari 15,482 server MongoDB dan menuntut 1 Bitcoin untuk mengembalikan data yang hilang.

Hingga saat ini, server MongoDB yang dibajak telah berkembang lebih dari 28.000 karena lebih banyak peretas juga melakukan hal yang sama - mengakses, menyalin, dan menghapus basis data yang tidak terkonfigurasi untuk Ransom. Selain itu, Kraken, kelompok yang sebelumnya terlibat dalam distribusi Windows Ransomware, juga ikut bergabung.

Bagaimana MongoDB Ransomware menyelinap di server

MongoDB yang dapat diakses melalui internet tanpa kata sandi telah menjadi orang-orang yang ditargetkan oleh para peretas. Oleh karena itu, Administrator Server yang memilih untuk menjalankan servernya tanpa kata sandi dan menggunakan nama pengguna default dengan mudah ditemukan oleh peretas.

Yang lebih buruk, ada contoh dari server yang sama diretas ulang oleh kelompok peretas yang berbeda yang telah menggantikan catatan tebusan yang ada dengan catatan mereka sendiri, sehingga mustahil bagi korban untuk mengetahui apakah mereka bahkan membayar penjahat yang benar, apalagi apakah data mereka dapat dipulihkan. Oleh karena itu, tidak ada kepastian jika data yang dicuri akan dikembalikan. Oleh karena itu, bahkan jika Anda membayar uang tebusan, data Anda mungkin masih hilang.

Keamanan MongoDB

Ini adalah keharusan bahwa Administrator Server harus menetapkan kata sandi dan nama pengguna yang kuat untuk mengakses database. Perusahaan yang menggunakan instalasi default MongoDB juga disarankan untuk memperbarui perangkat lunak mereka , mengatur otentikasi dan mengunci port 27017 yang telah ditargetkan paling oleh peretas.

Langkah-langkah untuk lindungi data MongoDB Anda

1. Tegakkan Kontrol Akses dan Otentikasi

Mulai dengan Mengaktifkan kontrol akses server Anda dan tentukan mekanisme otentikasi. Otentikasi mengharuskan semua pengguna memberikan kredensial yang valid sebelum mereka dapat terhubung ke server.

Rilis MongoDB 3.4 terbaru memungkinkan Anda untuk mengonfigurasi otentikasi ke sistem yang tidak terlindungi tanpa menimbulkan gangguan.

1. Pengaturan Kontrol Akses Berbasis Peran

Daripada memberikan akses penuh ke sekelompok pengguna, buat peran yang menentukan akses yang tepat untuk satu set kebutuhan pengguna. Ikuti prinsip paling tidak istimewa. Kemudian buat pengguna dan berikan mereka hanya peran yang mereka perlukan untuk melakukan operasi mereka.

1. Enkripsikan Komunikasi

Data yang dienkripsi sulit untuk diinterpretasikan, dan tidak banyak peretas mampu mendekripsi dengan sukses. Konfigurasikan MongoDB untuk menggunakan TLS / SSL untuk semua koneksi masuk dan keluar. Gunakan TLS / SSL untuk mengenkripsi komunikasi antara komponen mongod dan mongos dari klien MongoDB serta antara semua aplikasi dan MongoDB.

Dengan menggunakan MongoDB Enterprise 3.2, enkripsi asli WiredTiger mesin penyimpan di Istirahat dapat dikonfigurasi untuk mengenkripsi data dalam penyimpanan lapisan. Jika Anda tidak menggunakan enkripsi WiredTiger saat istirahat, data MongoDB harus dienkripsi pada setiap host menggunakan sistem file, perangkat, atau enkripsi fisik.

1. Batasi Pemaparan Jaringan

Untuk Membatasi Pemaparan jaringan memastikan bahwa MongoDB berjalan di jaringan tepercaya lingkungan Hidup. Admin hanya boleh mengizinkan klien tepercaya untuk mengakses antarmuka jaringan dan port tempat instance MongoDB tersedia.

1. Cadangkan data Anda

MongoDB Cloud Manager dan MongoDB Ops Manager menyediakan pencadangan berkelanjutan dengan pemulihan titik waktu, dan pengguna dapat mengaktifkan peringatan di Cloud Manager untuk mendeteksi apakah penyebarannya terpapar di internet

1. Aktivitas Sistem Audit

Sistem audit secara berkala akan memastikan bahwa Anda mengetahui adanya perubahan tidak teratur pada basis data Anda. Lacak akses ke konfigurasi dan data database. MongoDB Enterprise termasuk fasilitas audit sistem yang dapat merekam acara sistem pada instance MongoDB.

1. Jalankan MongoDB dengan Pengguna Khusus

Jalankan proses MongoDB dengan akun pengguna sistem operasi khusus. Pastikan bahwa akun memiliki izin untuk mengakses data tetapi tidak ada izin yang tidak diperlukan.

1. Jalankan MongoDB dengan Opsi Konfigurasi Aman

MongoDB mendukung eksekusi kode JavaScript untuk operasi sisi server tertentu: mapReduce, grup, dan $ di mana. Jika Anda tidak menggunakan operasi ini, nonaktifkan scripting sisi server dengan menggunakan opsi -noscripting pada baris perintah.

Gunakan hanya protokol kawat MongoDB pada penyebaran produksi. Tetap aktifkan validasi masukan. MongoDB memungkinkan validasi input secara default melalui pengaturan wireObjectCheck. Ini memastikan bahwa semua dokumen yang disimpan oleh instance mongod adalah BSON yang valid.

1. Meminta Panduan Penerapan Teknis Keamanan (jika berlaku)

Panduan Penerapan Teknis Keamanan (STIG) berisi panduan keamanan untuk pemasangan di dalam Departemen Pertahanan Amerika Serikat. MongoDB Inc. menyediakan STIG-nya, atas permintaan, untuk situasi di mana diperlukan. Anda dapat meminta salinan untuk informasi lebih lanjut.

1. Pertimbangkan Kepatuhan Standar Keamanan

Untuk aplikasi yang membutuhkan kepatuhan HIPAA atau PCI-DSS, silakan lihat Arsitektur Referensi Keamanan MongoDB di sini untuk mempelajari lebih lanjut tentang bagaimana Anda dapat menggunakan kapabilitas keamanan kunci untuk membangun infrastruktur aplikasi yang sesuai.

Bagaimana mengetahui apakah instalasi MongoDB Anda diretas

• Verifikasi basis data dan koleksi Anda. Peretas biasanya menjatuhkan basis data dan koleksi dan menggantinya dengan yang baru sambil meminta tebusan untuk yang asli
• Jika kontrol akses diaktifkan, audit log sistem untuk mencari tahu upaya akses tidak sah atau aktivitas mencurigakan. Cari perintah yang menjatuhkan data Anda, pengguna yang dimodifikasi, atau buat catatan permintaan uang tebusan.

Perhatikan bahwa tidak ada jaminan bahwa data Anda akan dikembalikan bahkan setelah Anda membayar tebusan. Oleh karena itu, posting serangan, prioritas pertama Anda harus mengamankan cluster Anda (s) untuk mencegah akses tidak sah lebih lanjut.

Jika Anda mengambil backup, maka pada saat Anda mengembalikan versi terbaru, Anda dapat mengevaluasi data apa yang mungkin telah berubah sejak pencadangan terbaru dan waktu penyerangan. Untuk lebih lanjut, Anda dapat mengunjungi mongodb.com .