Атаки на СУБД MongoDB

В систему выявления инцидентов MaxPatrol SIEM загружен пакет экспертизы, позволяющий оперативно обнаружить присутствие злоумышленников в системах управления баз данных MongoDB Enterprise Server.

Правила выявления угроз помогут выявить их активность на разных этапах атаки и не допустить кражи данных и вывода системы из строя.

Согласно исследованиям Positive Technologies, получение данных остается главным мотивом кибератак на компании – среди всех киберинцидентов на их долю приходится 61%. Чаще всего злоумышленникам удается завладеть персональными данными организаций (32%), коммерческой тайной (26%) и учетными данными (20%). Такие сведения могут храниться в системах управления баз данных.

Аналитическое агентство Forrester относит СУБД MongoDB к лидерам рынка нереляционных баз данных. Это документоориентированная система управления базами данных с открытым исходным кодом. Данные в ней хранятся в виде документов, объединенных в коллекции.

«Зачастую из-за некорректной конфигурации СУБД MongoDB может стать открытой, доступной из глобальной сети для любого пользователя, — комментирует Ян Губер, специалист отдела безопасности бизнес-систем и баз данных, Positive Technologies. — В России по данным на апрель около 1600 публично доступных серверов MongoDB. Такие СУБД злоумышленники могут найти с помощью специализированных поисковых систем и легко завладеть конфиденциальными данными в них. Из-за простоты доступа к данным серверы MongoDB остаются под прицелом хакеров».

Чтобы пользователи MaxPatrol SIEM, в чьей IT-инфраструктуре есть MongoDB Enterprise Server, усилили свой уровень защищенности, Positive Technologies выпустила специальный пакет экспертизы.

В пакет экспертизы вошли правила выявления атак на этапах повышения привилегий, получения учетных данных, исследования системы и воздействия на нее. Установив пакет экспертизы, пользователи MaxPatrol SIEM смогут обнаружить такие подозрительные действия, как:

  • создание пользователей с высокими привилегиями,
  • создание резервной копии или удаление баз данных,
  • просмотр данных о пользователях и их паролей,
  • получение информации о ролях пользователей,
  • подключение с популярных дистрибутивов для тестирования на проникновение,
  • множественное удаление коллекций.

Это четвертый пакет экспертизы в MaxPatrol SIEM, созданный для детектирования подозрительной активности в популярных в России СУБД. Ранее в MaxPatrol SIEM были загружены наборы правил для выявления атак на PostgreSQL, Oracle Database и Microsoft SQL Server.

Чтобы начать использовать новый пакет экспертизы, нужно обновить MaxPatrol SIEM до версии 6.1 и установить правила из пакета экспертизы.

 

 

Похожие записи