SequoiaDB 關于 MongoDB 安全事件的一些思考

njsunpeng 7年前發布 | 44K 次閱讀 MongoDB SequoiaDB NoSQL數據庫

剛剛過去的這個周末,各位大數據和數據庫從業者想必是被MongoDB的“安全事件”給刷屏了,MongoDB作為當前NoSQL在全球的領軍人物,遭到這么大規模的黑客攻擊,這也再次讓我們對于新一代的開源數據庫的數據安全問題帶來了思考。而 SequoiaDB 巨杉數據庫作為國內領先的新一代分布式數據庫廠商,我們也來說說我們對這個事件的看法。

事件回顧

此前,眾多無需身份驗證的開放式 MongoDB 數據庫實例正在遭受多個黑客組織的攻擊,被攻破的數據庫內容會被加密,受害者必須支付贖金才能找回自己的數據。攻擊者利用配置存在疏漏的開源 MongoDB 數據庫展開了一系列勒索行為。此番針對 MongoDB 的勒索行為最早是由 GDI Foundation 的安全研究人員 Victor Gevers 在2016年12月27日發現的,在這之后影響陸續擴大,目前至少有五個不同黑客組織控制了上萬個數據庫實例。

目前在Google Docs上有一個列表,其中列出了參與此次攻擊的黑客組織名單,具體數量還在增加中。攻擊者所要求支付的金額各異,最低僅0.15個比特幣,但也有高達1個比特幣的贖金。2017年至今,比特幣的價值上下波動,截止1月6日,具體金額約等于892美元。

此次針對MongoDB的攻擊非常簡單,利用了配置有誤且可公開訪問的數據庫,無須具備相應的管理員憑據即可展開攻擊。一旦攻擊者登錄到開放的數據庫,隨后會全面奪取控制權并竊取或加密數據庫,被勒索的受害者必須支付贖金才能找回自己的數據。

事件幾點分析

針對此次的MongoDB安全時間,業界的評判不一,而從一個數據庫廠商的角度,我們認為主要的原因有一下幾點:

1)   數據庫用戶的安全意識 :本次攻擊的原理并不復雜,基本屬于把自己數據庫的大門敞開,難免最終會被賊“光顧”。一方面,用戶對于數據庫特別是MongoDB這樣的數據庫新面孔并沒有特別熟悉,因此在使用的過程中由于經驗不足而沒有注意數據庫安全的設置。另一方面,一些用戶會認為防火墻和數據中心的安全機制已經足夠,不需要再管數據庫的安全設置,最終“大意失荊州”。歸集起來,原因主要還是用戶對于數據庫使用的經驗不足。

2)   黑客攻擊后未有有效的警告 :除了本身用戶使用的大意,對于數據庫安全的監控無論是廠商自己還是相關的機構都遠未達到大家的預期。首先,早在15年有關MongoDB“裸奔”的消息放出后,無論是廠商還是業界都沒有引起足夠的重視,更沒有有效的警告和提醒。其次,在本次大規模的攻擊事件發生后,各方的反應也較慢,直到有媒體開始爆出消息才引起了廠商和用戶群體的警惕。然而可以說是“為時已晚”。

3)   MongoDB 的安全機制不完善 :雖然本次安全時間并不是因為MongoDB程序自身的漏洞而遭到大規模攻擊,但是作為廠商,產品用戶遭到大規模的攻擊和勒索,自己也是難逃其咎。總結起來主要有兩個問題,一個是安全機制的不完善,也就是在使用中沒有自動化的安全保護機制,如MongoDB在3.x之后更改了鑒權協議,而不兼容2.x版本協議,許多用戶因為不愿升級而最終選擇“裸奔”。另一個,MongoDB也沒有能有效的提醒用戶注意設置數據庫權限,對于可能出現的“裸奔”情況,其并沒有做好十足的提醒,保證用戶必須設置好權限才可以使用,這也是造成本次事件的主要原因之一。

數據庫安全的思考

說了這么多,大家應該也比較關心怎么去預防類似問題的出現,我們也在這里給大家幾點思考吧:

1)   數據庫安全十分重要: 這次的事件提醒大家,數據庫安全真的很重要。無論是資深的還是新人“小白”用戶,都應該把數據庫的安全提到一個重要的位置。用戶們要注意數據庫的安全保護,充分利用好數據庫的安全機制,保護好自己的數據。避免這次MongoDB“裸奔”的情況出現。

2)   企業用戶需要專業的技術支持: 對于數據量達到一定規模或者是保存的數據十分敏感、重要的企業用戶,無論是數據庫安全還是數據庫的高效管理、高性能配置,我們認為最好都要尋求專業的廠商技術團隊的支持。廠商專業的團隊可以幫助企業更全面的使用和管理好自己的數據庫平臺,同時,廠商專業的團隊也能給到用戶最好最及時的數據庫安全保護和漏洞修復服務,避免大規模數據庫安全事故的發生。

3)   國產化與開源產品: 雖然目前業界也有許多的海外開源產品,但是作為用戶,如果在并不能完全了解這些技術的前提下使用開源架構,很可能也會面臨使用上和管理上的一些盲點,造成出現數據庫“裸奔”這樣的失誤。因此,國內的用戶我們也認為可以考慮更多國產大數據架構,這樣不僅產品更適合國內應用場景需求,在技術支持上相對海外的開源架構,更能給到原廠代碼級別的服務支持。

4)   廠商的產品服務: 反過來,對于廠商,我們希望廠商也都能引以為戒,產品開發要更全面的考慮到用戶的需求以及可能遇到的問題,同時對客戶的服務響應上也要更加的及時,不要等到大規模的爆發了問題才引起重視。

 

來自:https://www.oschina.net/news/80823/some-thoughts-on-mongodb-security-incident

 

 本文由用戶 njsunpeng 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
 轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
 本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!