微信号:sunw3i

介绍:在这里更懂安全

MongoDB祸起萧墙,10亿美元勒索战场谁来阻击

2017-01-12 14:15 孙维

重要的话先说,10亿美元勒索软件市场,将在云计算阻击下日渐萎靡。


Redis之后,MongoDB再次掉坑


谁会把自己家的保险柜安装在房子外面,并且还装了个不怎么靠谱的锁儿?相信大多数人都认为没有谁会这么傻,但实际呢,还真有些人是这么做的。


好多天真少年为了方便维护,将自己家的MongoDB直接绑定成0.0.0.0,这就意味着你随便连个Wi-Fi都能访问这个服务,再加上它开启服务未添加任何参数时,默认没有权限验证,攻击者不需要口令就能直接登陆数据库,然后就是撸起袖子随便玩了。


一言以蔽之,MongoDB不单单是把保险柜安装在房子外面,令攻击者更开心的是,这个保险柜还没上锁。我家大门常打开,开放怀抱等你,其实说的就是这个事。



(配图为全球可公开访问MongoDB统计数据


勒索即服务时代降临


以前攻击者搞定数据库之后顶多是拖库走人,而现在呢,把你数据删除,留下孙大圣到此一游的记号,跟传统勒索软件实现的方式方法不一样,但目标一致,要想恢复数据,比特币拿来,所以MongoDB数据库未授权访问漏洞变成了勒索事件频发的温床。


小伙伴们都知道,2016年是全球勒索软件爆发高峰年,老美FBI有一个数字,2016年全球因勒索软件攻击遭受的损失高达10亿美刀。趋势科技预测 2017年勒索软件新种类将增长25%,平均每个月会有15类新勒索软件出现,虽然勒索软件高峰爆发期在2016年已经发生,但在2017年,勒索软件将驱使网络犯罪更加多样化。

(配图为趋势科技预测勒索软件种类数量趋势)


勒索这件事自古有之,比如狱卒凌虐囚犯勒索囚犯家属定期上供银两,又比如街坊张大妈拍到小李媳妇与隔壁老王私会证据后敲诈了他们一笔旅游费用,再到后来IPhone手机被锁敲诈解锁费用案例比比皆是。


笔者曾经强调一个观点,勒索即服务的本质不会改变,但是它会继续形式上的创新。


从勒索对象来看,逐步从传统数字资产向IoT资产、IIoT资产、物理资产扩散。今天是MongoDB,明天可能就是NoSQL、MySQL。这次是文档资料,下次是数据库文件,再下次地铁售票终端机免费售票,电梯控制系统被锁定停止,门禁无法打开、汽车无法启动、电网中断输电,当勒索软件和IoT、智慧城市狭路相逢,惨烈程度可想而知。


从实现方式来看,形成了从钓鱼邮件、水坑攻击到大规模网络钓鱼,乃至利用新漏洞直接获取数据控制权的技术手法递进式演变,未来甚至不排除某些黑客组织直接利用勒索软件形式进行政治诉求的表达。


从对抗结果来看,勒索方失信的比例正在逐步提升,部分支付赎金的企业和个人甚至恢复不了自己的重要数据,而攻击者拿到赎金之后立即开始寻找下一个勒索对象。


阻击勒索软件,云计算成为致胜武器


前面其实讲了两个坑,一个是将无需对外的服务直接映射到互联网,另一个坑是勒索+漏洞大行其道,在数字化革命演进的当下,有没有更好的解决方法来避开这两个坑,这才是笔者的本意。要解决这两个问题,笔者个人觉得需要从以下三个方面来做文章。


数据备份


其实大伙都明白,现阶段对抗勒索软件最靠谱的方式可能是数据备份,受制于安全资源的投入,传统数字场景下的备份策略可能差异较大,备份能力也是参差不齐,最尴尬的是谁也无法保证100%的安全,漏洞频发、安全意识薄弱、安全防护措施不足,任何一个突破点被攻击者利用之后都会导致勒索事件的发生,而事后如何进行有效的数据及业务恢复就成了最重要的事务。


访问控制


根据Shodan数据显示,直到2017年1月,互联网可访问的开放式 MongoDB 数据库的数量不降反增,全球估计多达10万个数据库处于风险中。默认策略下如何限制后端服务不被互联网访问,如何快速预警被人为映射到互联网的后端服务,如何对攻击面进行有效管控和收敛,这都是未雨绸缪的工作。


身份认证


身份认证也就是解决保险柜上锁的问题,在“撞库时代”妥善解决好口令安全问题是每个企业都面临的棘手之事,口令安全策略的执行效率、多因素认证技术手段的实施、可疑登陆行为的审计识别,在解决好这些问题后,身份认证才算是登堂入室。


讲了这么多,其实上云是避开这两个坑的最佳途径:


第一,CSP提供的业务快照和快速容灾能力是解决数据备份问题的天赋属性,当然备份恢复也是对抗勒索软件的最后一道保障。

第二,CSP提供的VPC服务可以进行安全域隔离和远程访问控制,同时再加上安全组细粒度的访问控制策略,能够有效控制敏感业务的对外访问。

第三,CSP会提供RAM服务进行企业账户安全管控,辅以MFA功能和口令安全策略来提升用户口令安全性。


有关CSP对抗勒索软件的实践,阿里云已经具备丰富经验,各位童鞋可以移步阿里云了解更多细节(点击原文阅读),在这里安利给各位。

 
孙维的信息安全札记 更多文章 真实黑客主演,中国首部黑客爱情微电影《我在(I’m here)》正式发布 真实黑客主演,中国首部黑客爱情微电影《我在(I’m here)》正式发布 2016信息安全“年度关键词”解读 马后炮:川普称王背后的神秘胖纸 越过CPS,再看IoT安全
猜您喜欢 Git工作流指南 为丁香园喝彩! 人生如摆摊 ASP.NET Core中的依赖注入(5): ServiceProvider实现揭秘 【总体设计 】 关于【国内IaaS云个人使用体验报告】的修正