MongoDB 보안 : Ransomware에서 MongoDB 데이터베이스 보안 및 보호

Ransomware는 최근 보안되지 않은 MongoDB 설치를 강타하여 데이터를 몸값으로 보유했습니다. 여기에서는 MongoDB 가 무엇인지 살펴보고 MongoDB 데이터베이스를 보호하고 보호하기 위해 취할 수있는 몇 가지 단계를 살펴 봅니다. 먼저 MongoDB에 대한 간단한 소개가 있습니다.

MongoDB 란 무엇입니까?

MongoDB는 유연한 문서 데이터 모델을 사용하여 데이터를 저장하는 오픈 소스 데이터베이스입니다. MongoDB는 테이블과 행을 사용하여 만들어진 전통적인 데이터베이스와는 달리 MongoDB는 컬렉션과 문서의 아키텍처를 사용합니다. 동적 스키마 디자인에 따라 MongoDB는 컬렉션의 문서가 다른 필드와 구조를 가질 수 있도록합니다. 이 데이터베이스는 JSON과 유사한 문서의 바이너리 표현을 제공하는 BSON이라는 문서 저장 및 데이터 교환 형식을 사용합니다.

Ransomware는 MongoDB 데이터를 공격합니다.

최근에 보안 연구원 인 Victor Gevers는 MongoDB 설치가 제대로 이루어지지 않았다는 이유로 Ransomware 공격이 발생했다고 트위터에 올렸습니다. 공격은 지난 12 월 크리스마스 2016 년에 시작되어 수천 개의 MongoDB 서버에 감염되었습니다.

처음에는 Victor가 MongoDB 설치를 200 건 발견했으며이 MongoDB 설치는 공격 받고 몸값으로 잡혔습니다. 그러나 곧 다른 감염 연구원 Shodan Founder John Matherly가보고 한 2000 건의 DB에 감염된 설치가 급증했으며 2017 년 1

일에 9, ^{주 만에 손상된 시스템의 수가 27,000 개가 넘었습니다} Ransom이 요구함

초기 보고서에 따르면 공격자는 22 명의 희생자가 지불 한 몸값으로 Bitcoins (약 184 달러)를 요구하고있다. 현재 공격자는 몸값을 올렸으며 Bitcoin (약 906 USD)을 요구하고 있습니다.

공개 된 이래로 보안 연구원은 MongoDB 서버를 하이재킹하는 데 관련된 15 명 이상의 해커를 확인했습니다. 그 중 전자 메일 처리기를 사용하는 공격자는

kraken0 가 15,482 개 이상의 MongoDB 서버를 공격하여 손실 된 데이터를 반환하도록 Bitcoin에게 요청합니다. 지금까지 납치 된 MongoDB 서버는 증가했습니다 Ransom에 잘못 구성된 데이터베이스 액세스, 복사 및 삭제 - 더 많은 해커가 동일한 작업을 수행함에 따라 28,000 명이 넘습니다. 또한 이전에 Windows Ransomware 배포에 참여한 Kraken도 참여했습니다. 인터넷을 통해 암호없이 액세스 할 수있는 MongoDB Ransomware가 MongoDB 서버에 몰래 들어가는 방법은 무엇입니까? 해커가 목표로하는 사람. 따라서 해커가

기본 사용자 이름

을 사용하여 자신의 서버

를 실행하고 서버를 실행하도록 선택한 서버 관리자는 쉽게 발견 할 수있었습니다. 더 나쁜 것은 동일한 서버 인스턴스가 존재한다는 것입니다 다른 해커 그룹에 의해 해킹 된 사람 . 기존의 몸값을 자신의 것으로 바꾸었기 때문에 피해자가 데이터를 복구 할 수 있는지 여부는 물론 범죄자에게 지불할지 여부를 알 수 없습니다. 따라서 도난당한 데이터가 반환되는지 여부는 확실하지 않습니다. 따라서 대가를 지불하더라도 데이터는 여전히 사라질 수 있습니다.

MongoDB 보안 서버 관리자는 데이터베이스에 액세스하기 위해 강력한 암호와 사용자 이름을 지정해야합니다. MongoDB의 기본 설치를 사용하는 회사는 해커가 가장 많이 목표로 삼은 인증 및

잠금 포트 27017

을 소프트웨어 를 업데이트하는 것이 좋습니다. MongoDB 데이터 보호 액세스 제어 및 인증 시행 시작 기준 서버의 액세스 제어를 활성화하고 인증 메커니즘을 지정합니다. 인증을 위해서는 모든 사용자가 유효한 자격 증명을 제공해야 서버에 연결할 수 있습니다.

최신

1. MongoDB 3.4

릴리스를 사용하면 시스템을 중단시키지 않고 보호되지 않은 시스템에 인증을 구성 할 수 있습니다.

역할 기반 액세스 제어 설정 일련의 사용자에게 전체 액세스 권한을 제공하는 대신 사용자의 요구 집합에 대한 정확한 액세스를 정의하십시오. 최소 권한 원칙을 따르십시오. 그런 다음 사용자를 만들고 작업을 수행하는 데 필요한 역할 만 할당하십시오. 암호화 통신

1. 암호화 된 데이터를 해석하기가 어렵고 많은 해커가 성공적으로 해독 할 수있는 것은 아닙니다. 모든 수신 및 발신 연결에 대해 TLS / SSL을 사용하도록 MongoDB를 구성하십시오. MongoDB 클라이언트의 mongod와 mongos 구성 요소 사이의 통신은 물론 모든 응용 프로그램과 MongoDB 간의 통신을 암호화하기 위해 TLS / SSL을 사용하십시오. MongoDB Enterprise 3.2를 사용하면 WiredTiger 저장 엔진의 원시 Encryption at Rest를 구성하여 저장 장치의 데이터를 암호화 할 수 있습니다 층.

네트워크 노출 제한

1. 네트워크 노출을 제한하려면 MongoDB가 신뢰할 수있는 네트워크에서 실행되도록 보장합니다. 환경. 관리자는 신뢰할 수있는 클라이언트 만이 MongoDB 인스턴스를 사용할 수있는 네트워크 인터페이스 및 포트에 액세스 할 수 있도록 허용해야합니다.

데이터 백업

MongoDB Cloud Manager 및 MongoDB Ops Manager는 특정 시점 복구 기능을 갖춘 지속적인 백업을 제공하며 사용자는 경고를 활성화 할 수 있습니다

1. 시스템 활동 감사

시스템을 주기적으로 감사하면 데이터베이스에 대한 불규칙한 변경 사항을 알 수 있습니다. 데이터베이스 구성 및 데이터에 대한 액세스를 추적하십시오. MongoDB Enterprise는 시스템 이벤트를 MongoDB 인스턴스에 기록 할 수있는 시스템 감사 기능을 포함합니다.

1. 전용 사용자와 함께 MongoDB 실행

MongoDB 프로세스를 전용 운영 체제 사용자 계정으로 실행합니다. 계정에 데이터에 액세스 할 권한이 있지만 불필요한 권한이 없는지 확인하십시오.

1. 보안 구성 옵션으로 MongoDB 실행

MongoDB는 특정 서버 측 작업 (mapReduce, group 및 $ where)에 대한 JavaScript 코드 실행을 지원합니다. 이러한 작업을 사용하지 않는 경우 명령 줄에서 -noscripting 옵션을 사용하여 서버 측 스크립팅을 비활성화하십시오.

1. 프로덕션 환경에서 MongoDB 유선 프로토콜 만 사용하십시오. 입력 유효성 검증을 사용 가능하게하십시오. MongoDB는 기본적으로 wireObjectCheck 설정을 통해 입력 유효성 검사를 활성화합니다. 이렇게하면 mongod 인스턴스에 저장된 모든 문서가 유효한 BSON이됩니다.

보안 기술 구현 가이드 요청 (해당하는 경우)

1. 보안 기술 구현 가이드 (STIG)에는 미국 국방성 내의 배포에 대한 보안 지침이 포함되어 있습니다. MongoDB Inc.는 필요시 상황에 따라 요청에 따라 STIG를 제공합니다. 자세한 내용은 복사본을 요청할 수 있습니다.

보안 표준 준수 고려

HIPAA 또는 PCI-DSS 준수가 필요한 응용 프로그램의 경우 MongoDB 보안 참조 아키텍처

1. 여기

를 참조하여 핵심 보안 기능을 사용하여 호환되는 애플리케이션 인프라를 구축 할 수 있습니다.

1. MongoDB 설치가 해킹당하는 지 확인하는 방법

데이터베이스 및 컬렉션을 확인하십시오. 해커는 대개 데이터베이스와 컬렉션을 삭제하고 원래 데이터베이스의 대가를 요구하면서 새로운 데이터베이스로 대체합니다. 액세스 제어가 활성화 된 경우 시스템 로그를 감사하여 승인되지 않은 액세스 시도 또는 의심스러운 활동을 찾습니다. 데이터를 삭제하거나 사용자를 수정하거나 몸값 기록을 작성한 명령을 찾으십시오. 몸값을 지불 한 후에도 데이터가 반환된다는 보장은 없음을 참고하십시오. 따라서 공격 후, 무단 액세스를 방지하기 위해 클러스터를 보호해야합니다.

백업을 받으면 가장 최근 버전을 복원 할 때 이후에 변경된 데이터를 평가할 수 있습니다 가장 최근의 백업 및 공격 시간. 더 자세한 내용은

• mongodb.com
• .