比特币撞库软件 MongoDB是一场灾难，10亿美元勒索战场谁来挡

首先要说的重要一点是，10 亿美元的勒索软件市场将在云计算的阻挠下逐渐萎缩。

Redis 之后，MongoDB 又掉坑里了

谁会在屋外安装自己的保险箱，但锁不可靠？ 相信大多数人都认为没有人那么傻，但实际上，确实有人这样做了。

很多幼稚的少年为了方便维护，直接把自己的MongoDB绑定到0.0.0.0，也就是说你用任何Wi-Fi都可以访问这个服务，而且在启动服务的时候不加任何参数，默认是Without permission验证，攻击者可以不用密码直接登录数据库，然后撸起袖子随便玩。

简而言之比特币撞库软件，MongoDB 不只是将保险箱安装在屋外，攻击者更高兴的是保险箱没有上锁。 我家的大门常年敞开，张开双臂等你。 事实上，这就是我所说的。

（图片来自全球可公开访问的 MongoDB 统计数据

)

勒索软件即服务时代来临

以往，攻击者拿到数据库后，顶多拖着数据库走人，但现在，删除你的数据，留下孙大圣来过这里的痕迹，与传统的勒索病毒手段不同，但目的是一样的. 如果要恢复数据，就要用到比特币，所以MongoDB数据库的未授权访问漏洞就成了勒索事件频发的温床。

众所周知，2016年是全球勒索病毒爆发的高峰年。 美国联邦调查局有一个数字。 2016年，全球因勒索软件攻击造成的损失高达10亿美元。 趋势科技预测，2017年新型勒索病毒将增加25%，平均每月出现15种新型勒索病毒。 虽然勒索软件的爆发高峰出现在2016年，但在2017年，勒索软件将带动网络犯罪更加多样化。

（图为趋势科技对勒索软件种类数量的预测）

勒索自古就有。 例如，狱警虐待囚犯，勒索囚犯家属定期捐款。 例如，小区的张阿姨拍下与隔壁老王私会的证据后，向小李的妻子勒索了一笔路费。 后来，iPhone手机被锁，勒索解锁费的案例屡见不鲜。

笔者曾经强调过一个观点，敲诈勒索服务的本质不会改变，只是形式上会不断创新。

从勒索对象来看，逐渐从传统的数字资产向物联网资产、工业物联网资产、实物资产蔓延。 今天是MongoDB，明天可能是NoSQL、MySQL。 这次是文件，下次是数据库文件，下次地铁售票终端卖免票，电梯控制系统锁死，门禁打不开，轿子启动不了，电网中断. 当勒索病毒遇上物联网、智慧城市，悲剧程度可想而知。

从实施上看，已经形成了从钓鱼邮件、水坑攻击到大规模钓鱼，甚至利用新的漏洞直接获取数据控制权的技术手段的递进演变。 未来甚至不排除一些黑客组织会直接使用勒索软件表达政治诉求。

从交锋结果来看，失信敲诈勒索方的比例在逐渐增加。 一些支付赎金的公司和个人甚至无法恢复重要数据，攻击者在收到赎金后立即开始寻找下一个勒索目标。

对抗勒索软件，云计算成制胜法宝

其实就是上面说的两个陷阱。 一种是直接映射不需要外网的服务，另一种是勒索+漏洞。 在当前数字革命的演进中，是否有更好的解决方案来避免这两个陷阱？ ，这是作者的初衷。 解决这两个问题，个人觉得需要从以下三个方面做文章。

数据备份

其实大家都知道，现阶段对抗勒索软件最靠谱的方法可能就是数据备份。 由于安全资源的投入，传统数字化场景下的备份策略可能千差万别，备份能力也参差不齐。 最尴尬的是没有人能保证100%的安全。 漏洞频发，安全意识薄弱比特币撞库软件，安全防护措施不到位。 任何一个被攻击者利用的突破口都会导致勒索事件的发生，事件发生后如何有效地恢复数据和业务成为一个难题。 最重要的业务。

访问控制

据Shodan数据显示，截至2017年1月，可通过互联网访问的开放MongoDB数据库数量不减反增，估计全球有多达10万个数据库面临风险。 如何在默认策略下限制后端服务被外网访问，如何对人为映射到外网的后端服务进行快速预警，如何有效控制和抑制攻击面，都是提前做好的工作.

验证

身份认证是为了解决保险柜上锁问题。 在“凭证时代”，妥善解决密码安全问题是摆在每个企业面前的一项艰巨任务。 密码安全策略的执行效率，多因素认证技术的执行，可疑登录行为的审计和识别。 解决了这些问题之后，身份认证就可以算是进屋了。

说了这么多，其实上云是避免这两个坑的最好办法：

首先，CSP提供的业务快照和快速容灾能力是解决数据备份问题的天然属性。 当然，备份恢复也是抵御勒索软件的最后保障。

其次，CSP提供的VPC服务可以实现安全域隔离和远程访问控制，再加上安全组的细粒度访问控制策略，可以有效控制敏感服务的外部访问。

三是CSP为企业账号安全管控提供RAM服务，辅以MFA功能和密码安全策略，提高用户密码安全性。

对于CSP对付勒索病毒的做法，阿里云已经有了丰富的经验。