免费开通大数据服务：https://www.aliyun.com/product/odps

近期，各大安全组织检测到勒索软件正在攻击Hadoop集群，再次表明黑客正在尝试从“大数据”中获利，你的数据资产有没有被黑客get了？

◇◆◇◆◇

勒索软件攻击Hadoop事件综述

最近，部分黑客组织针对几款特定产品展开了勒索攻击。截止到上周，已有至少34000多台MongoDB数据库被黑客组织入侵，数据库中的数据被黑客擦除并索要赎金。随后，在2017年1月18日当天，又有数百台ElasticSearch服务器受到了勒索攻击，服务器中的数据被擦除。安全研究人员Niall Merrigan表示，截止到目前，受攻击的ElasticSearch服务器已经超过了2711台。紧随上述两次攻击事件，目前已经有黑客将目标瞄准了Hadoop集群。这些勒索攻击的攻击模式都较为相似，在整个攻击过程中并没有使用任何勒索软件，也没有涉及常规漏洞，而是利用相关产品的不安全配置，使攻击者有机可乘，轻而易举地对相关数据进行操作。

◇◆◇◆◇

勒索攻击模式

Hadoop框架的两个核心设计是HDFS（Hadoop Distributed File System）和MapReduce。HDFS是一个分布式文件系统，具有高容错性的特点，并且被设计用来部署在廉价的硬件上；而且它能够以高吞吐量来访问应用程序的数据，尤其适合那些有着超大数据集的应用程序。MapReduce是一个使用简易的软件框架，基于它编写出来的应用程序能够运行在由上千个商用机器组成的大型集群上，并以一种可靠容错的方式并行处理上T级别的数据集。

最近出现的针对MongoDB、ElasticSearch和Hadoop的勒索攻击模式都较为相似。在攻击过程中并没有涉及勒索软件和常规漏洞，而是利用相关产品不安全的配置，这为攻击者打开了方便之门。以MongoDB为例，这些受攻击的数据库没有采取任何身份验证，直接暴露在Internet公网上，一旦攻击者登录到这些开放的数据库就可以对其中的数据进行删除等恶意操作了；而针对ElasticSearch服务器的勒索攻击手段也是类似，ElasticSearch的TCP访问模式的默认端口为9300，HTTP访问模式的默认端口为9200，如果这些端口不做任何保护措施地暴露在公网上，那么对它的访问将没有任何身份认证，任何人在建立连接之后，都可以通过相关API对ElasticSearch服务器上的数据进行增删查改等任意操作。

而黑客针对Hadoop的勒索攻击，也是利用了暴露在公网上的端口。Hadoop集群的使用者往往出于便利或者本身安全意识不强的缘故，会将Hadoop的部分端口，比如HDFS的Web端口50070直接在公网上开放。攻击者可以简单使用相关命令来操作机器上的数据，比如：

使用上图格式中的命令可以递归删除test目录下的所有内容。

根据shodan.io的统计结果显示，在中国有8300多个Hadoop集群的50070端口暴露在公网上，如下图所示：

（该图片来自shodan.io）

勒索软件屡禁不止 　数据泄露愈演愈烈，企业何去何从?

接下来我们回到国内，看看阿里云在大数据安全性方面是如何保护企业数据资产的。

2016年10月，阿里云通过公安部组织的云计算等级保护新标准试点示范工作，成为全国首家通过国家级权威测评的云计算服务商。其中公共云平台、电子政务云平台、大数据平台、云运营系统、云运维等五大系统通过等级保护三级备案、测评，金融云平台通过等级保护四级的备案、测评。 https://yq.aliyun.com/articles/61628

在2016年6月29日成都云栖大会上，阿里云资深总监肖力介绍，阿里云通过了由全球顶级审计师事务所安永执行的第三方数据安全审计，结合阿里云在会议上发布的《阿里云数据安全白皮书》，https://help.aliyun.com/knowledge_detail/42566.html ；至此，阿里云数据安全管控体系算是正式出现在公众视野。

每一天，阿里云实时保护全中国35%的网站，这使得阿里云具备国内最丰富的攻防对抗数据和样本。再辅以强大的人工智能、机器学习和计算能力，阿里云能够及时从海量的安全数据中抓取到攻击线索、漏洞信息和威胁情报等高价值信息，提升云上用户的整体安全水平，结合云盾、安全管家和安全生态等增值服务帮助云上用户安全、合规。

随着云计算、大数据时代到来，不论是互联网企业还是制造业将时刻释放出海量数据，数据将成为企业最大的能源。数据挖掘、分析及整合将使社会经济、文化等各领域受益，数据的共享、共融也将成为社会发展的必然趋势。然而，在此进程中，数据安全受到前所未有的挑战，请谨慎选择你的数据资产管家，不要让黑客轻易get你的信息；