SequoiaDB 关于 MongoDB 安全事件的一些思考

刚刚过去的这个周末,各位大数据和数据库从业者想必是被MongoDB的“安全事件”给刷屏了,MongoDB作为当前NoSQL在全球的领军人物,遭到这么大规模的黑客攻击,这也再次让我们对于新一代的开源数据库的数据安全问题带来了思考。而 SequoiaDB 巨杉数据库作为国内领先的新一代分布式数据库厂商,我们也来说说我们对这个事件的看法。

事件回顾

此前,众多无需身份验证的开放式 MongoDB 数据库实例正在遭受多个黑客组织的攻击,被攻破的数据库内容会被加密,受害者必须支付赎金才能找回自己的数据。攻击者利用配置存在疏漏的开源 MongoDB 数据库展开了一系列勒索行为。此番针对 MongoDB 的勒索行为最早是由 GDI Foundation 的安全研究人员 Victor Gevers 在2016年12月27日发现的,在这之后影响陆续扩大,目前至少有五个不同黑客组织控制了上万个数据库实例。

目前在Google Docs上有一个列表,其中列出了参与此次攻击的黑客组织名单,具体数量还在增加中。攻击者所要求支付的金额各异,最低仅0.15个比特币,但也有高达1个比特币的赎金。2017年至今,比特币的价值上下波动,截止1月6日,具体金额约等于892美元。

此次针对MongoDB的攻击非常简单,利用了配置有误且可公开访问的数据库,无须具备相应的管理员凭据即可展开攻击。一旦攻击者登录到开放的数据库,随后会全面夺取控制权并窃取或加密数据库,被勒索的受害者必须支付赎金才能找回自己的数据。

事件几点分析

针对此次的MongoDB安全时间,业界的评判不一,而从一个数据库厂商的角度,我们认为主要的原因有一下几点:

1) 数据库用户的安全意识:本次攻击的原理并不复杂,基本属于把自己数据库的大门敞开,难免最终会被贼“光顾”。一方面,用户对于数据库特别是MongoDB这样的数据库新面孔并没有特别熟悉,因此在使用的过程中由于经验不足而没有注意数据库安全的设置。另一方面,一些用户会认为防火墙和数据中心的安全机制已经足够,不需要再管数据库的安全设置,最终“大意失荆州”。归集起来,原因主要还是用户对于数据库使用的经验不足。

2) 黑客攻击后未有有效的警告:除了本身用户使用的大意,对于数据库安全的监控无论是厂商自己还是相关的机构都远未达到大家的预期。首先,早在15年有关MongoDB“裸奔”的消息放出后,无论是厂商还是业界都没有引起足够的重视,更没有有效的警告和提醒。其次,在本次大规模的攻击事件发生后,各方的反应也较慢,直到有媒体开始爆出消息才引起了厂商和用户群体的警惕。然而可以说是“为时已晚”。

3) MongoDB的安全机制不完善:虽然本次安全时间并不是因为MongoDB程序自身的漏洞而遭到大规模攻击,但是作为厂商,产品用户遭到大规模的攻击和勒索,自己也是难逃其咎。总结起来主要有两个问题,一个是安全机制的不完善,也就是在使用中没有自动化的安全保护机制,如MongoDB在3.x之后更改了鉴权协议,而不兼容2.x版本协议,许多用户因为不愿升级而最终选择“裸奔”。另一个,MongoDB也没有能有效的提醒用户注意设置数据库权限,对于可能出现的“裸奔”情况,其并没有做好十足的提醒,保证用户必须设置好权限才可以使用,这也是造成本次事件的主要原因之一。

数据库安全的思考

说了这么多,大家应该也比较关心怎么去预防类似问题的出现,我们也在这里给大家几点思考吧:

1) 数据库安全十分重要:这次的事件提醒大家,数据库安全真的很重要。无论是资深的还是新人“小白”用户,都应该把数据库的安全提到一个重要的位置。用户们要注意数据库的安全保护,充分利用好数据库的安全机制,保护好自己的数据。避免这次MongoDB“裸奔”的情况出现。

2) 企业用户需要专业的技术支持:对于数据量达到一定规模或者是保存的数据十分敏感、重要的企业用户,无论是数据库安全还是数据库的高效管理、高性能配置,我们认为最好都要寻求专业的厂商技术团队的支持。厂商专业的团队可以帮助企业更全面的使用和管理好自己的数据库平台,同时,厂商专业的团队也能给到用户最好最及时的数据库安全保护和漏洞修复服务,避免大规模数据库安全事故的发生。

3) 国产化与开源产品:虽然目前业界也有许多的海外开源产品,但是作为用户,如果在并不能完全了解这些技术的前提下使用开源架构,很可能也会面临使用上和管理上的一些盲点,造成出现数据库“裸奔”这样的失误。因此,国内的用户我们也认为可以考虑更多国产大数据架构,这样不仅产品更适合国内应用场景需求,在技术支持上相对海外的开源架构,更能给到原厂代码级别的服务支持。

4) 厂商的产品服务:反过来,对于厂商,我们希望厂商也都能引以为戒,产品开发要更全面的考虑到用户的需求以及可能遇到的问题,同时对客户的服务响应上也要更加的及时,不要等到大规模的爆发了问题才引起重视。

文章转载自 开源中国社区 [http://www.oschina.net]

时间: 2024-09-24 13:15:05

SequoiaDB 关于 MongoDB 安全事件的一些思考的相关文章

性能测试:SequoiaDB vs. MongoDB vs. Cassandra vs. HBase

[编者按]在<先锋>系列的 事务.高性能,王涛谈打造超越MongoDB的NoSQL一文中,我们与王涛浅谈了高性能,拥有事务的SequoiaDB打造经验.应读者需求,从数据上解读各个NoSQL的优势,我们同时邀请了国内外相关专家对MongoDB.SequoiaDB.Cassandra.HBase四个NoSQL进行基准测试,并公布测试用例.相关数据及测试规则.本次我们将给大家放出国内专家的测评,仅供参考.PS:为了方便传阅,特别为大家准备了PDF版本,点击下载 . 下为测试资料 在本篇测试报告中,

从MongoDB安全事件说起,找到了原因和解决方案,危机之后又该怎样反思呢?

更多深度文章,请关注:https://yq.aliyun.com/cloud 背景介绍 近期,大批量的MongoDB实例因为配置漏洞遭遇了攻击,黑客无需身份认证即可登录MongoDB实例,从而删除了大量数据,并勒索受害者支付赎金才能要回自己的数据.截止目前为止,被劫持的MongoDB实例已经达到了一个惊人的数量.更加可恶的是,黑客在删除完业务数据库后,在里面的数据库留下了这段嘲讽+敲诈的"战书".简单翻译下:"你的数据库可以通过公网IP免密码登陆,你是怎么想的?"

通过MongoDB安全事件来谈谈为什么要用云服务

每到年底,比铁路部门还忙碌就是各路小偷,恰巧最近一篇关于NoSQL暴露公网的文章开拓了他们的思路.就在文章发布后这一周里,陆陆续续接到关于自建MongoDB被"黑客"攻击,数据被删,并且索要Q币的案例.今天我自卖自夸下,为了数据库安全,快点上云MongoDB.但正式自夸之前,我们先来复盘看看. 被黑者特征 本次事件的作案手法实在是称不上高级,所以我暂且称他们为"坏人",但这事不能完全埋怨"坏人",被攻击的这些自建MongoDB,全部都满足两个特征

Hadoop+Spark+MongoDB+MySQL+C#大数据开发项目最佳实践

随着IT技术的飞速发展,各行各业都已在广泛尝试使用大数据技术提供更稳健和优质的服务.目前,医疗IT系统收集了大量极具价值的数据,但这些历史医疗数据并没有发挥出其应有的价值.为此,本文拟利用医院现有的历史数据,挖掘出有价值的基于统计学的医学规则.知识,并基于这些信息构建专业的临床知识库,提供诊断.处方.用药推荐功能,基于强大的关联推荐能力,极大地提高医疗服务质量,减轻医疗人员的工作强度.   二.Hadoop&Spark  目前大数据处理领域的框架有很多.   从计算的角度上看,主要有MapRed

大数据项目实践:基于hadoop+spark+mongodb+mysql+c#开发医院临床知识库系统

从20世纪90年代数字化医院概念提出到至今的20多年时间,数字化医院(Digital Hospital)在国内各大医院飞速的普及推广发展,并取得骄人成绩.不但有数字化医院管理信息系统(HIS).影像存档和通信系统(PACS).电子病历系统(EMR)和区域医疗卫生服务(GMIS)等成功实施与普及推广,而且随着日新月异的计算机技术和网络技术的革新,进一步为数字化医院带来新的交互渠道譬如:远程医疗服务,网上挂号预约. 随着IT技术的飞速发展,80%以上的三级医院都相继建立了自己的医院信息系统(HIS)

MongoDB使用实践:妈妈帮平台技术架构

在2017年3月12日下午于阿里巴巴西溪园区举行的MongoDB杭州用户交流会上,来自妈妈帮平台的开发总监胡兴邦给我们带来了<妈妈帮平台技术架构及MongoDB使用实践 >的分享,在演讲中他对比传统的关系型数据库,分析并总结出了MongoDB的优势和不足,以及实际使用中应注意的问题. 此次演讲的内容主要分为四个方面: 选择并使用Mongo的经历  MongoDB与关系数据型数据库的对比  MongoDB对开发和架构带来的影响  MongoDB的数据模型设计. 以下是本次演讲的整理内容: 一.早

MongoDB黑客赎金事件解读及防范

直播回顾视频:https://yq.aliyun.com/edu/lesson/play/552 最近,全球互联网圈子内发生了一件大事:MongoDB数据库被黑事件,被黑掉的MongoDB数据库中所有的数据都内黑客洗劫一空,并留下信息勒索,要求支付比特币来赎回数据.截止到目前,受害者数目还在不断增加.为了更好地解读该事件,首先对MongoDB进行简单介绍,MongoDB数据库是NoSQL的文档型数据库,在DB engines排名中处于第四位.MongoDB最大的优势在于拥有灵活的表结构以及高可用

技术合集:新春来袭,锦囊妙计助程序员过个好年

更多深度文章,请关注:https://yq.aliyun.com/cloud 新春来临,诸位CTO,以及大神程序员们是否已经撸起袖子准备回家了?这个时候,最大的噩耗莫过于BOSS含情脉脉的出现在你的身边温柔的告诉你,春节流量大,春节有大促,春节有红包..总之,春节需要你值班,霎那间电闪雷鸣有没有!! 所以,小云妹子准备了一袋锦囊,专门推给诸位CTO,程序员大神GG,从最近最火的视频直播,到高QPS的场景,以及金融,红包,社交,大促等各个维度讨论如何通过云计算度过一个安稳妥当的新春佳节. 我们的口

Hadoop+Spark 大数据开发项目最佳实践

随着IT技术的飞速发展,各行各业都已在广泛尝试使用大数据技术提供更稳健和优质的服务.目前,医疗IT系统收集了大量极具价值的数据,但这些历史医疗数据并没有发挥出其应有的价值.为此 ,本文拟利用医院现有的历史数据,挖掘出有价值的基于统计学的医学规则.知识,并 基于这些信息构建专业的临床知识库,提供诊断.处方.用药推荐功能,基于强大的关联推荐能力,极大地提高医疗服务质量,减轻医疗人员的工作强度. 二.Hadoop&Spark 目前大数据处理领域的框架有很多. 从计算的角度上看,主要有MapReduce