Nội dung chính
Honeypot, một công cụ bảo mật mạng quan trọng, được thiết kế để thu hút các cuộc tấn công và từ đó theo dõi, phân tích hành vi của kẻ tấn công. Bằng cách mô phỏng các lỗ hổng và hệ thống dễ bị xâm nhập, honeypot giúp phát hiện, đánh lạc hướng kẻ tấn công khỏi những tài nguyên thực sự quan trọng và cung cấp thông tin quý giá để cải thiện các biện pháp bảo mật. Tuy nhiên, việc triển khai honeypot cũng tiềm ẩn nhiều rủi ro như có thể bị phát hiện, tốn kém tài nguyên và có thể trở thành điểm yếu nếu không được cấu hình đúng cách. Mục đích của bài báo này là giới thiệu phương thức hoạt động, phân loại và những rủi ro gặp phải khi triển khai Honyepot.
TỔNG QUAN VỀ HONEYPOT
Định nghĩa Honeypot
Trong thuật ngữ máy tính, Honeypot là một mồi nhử mạng, cơ chế bảo mật máy tính được thiết lập để phát hiện, làm chệch hướng hoặc theo một cách nào đó, chống lại các nỗ lực sử dụng trái phép các hệ thống thông tin. Nhìn chung, Honeypot bao gồm dữ liệu (ví dụ, trong một trang Web mạng) có vẻ là một phần hợp pháp của trang Web chứa thông tin hoặc tài nguyên có giá trị đối với kẻ tấn công. Trên thực tế, nó bị cô lập, được giám sát và có khả năng chặn hoặc phân tích những cuộc tấn công.
Công dụng chính của mồi nhử mạng này là đánh lạc hướng những kẻ tấn công tiềm năng khỏi thông tin và hệ thống quan trọng hơn trên mạng thực, tìm hiểu về các hình thức tấn công mà chúng có thể phải chịu và kiểm tra các cuộc tấn công như vậy trong và sau khi khai thác Honeypot. Nó cung cấp một cách để ngăn chặn và xem các lỗ hổng trong một hệ thống mạng cụ thể. Honeypot là mồi nhử được sử dụng để bảo vệ mạng khỏi các cuộc tấn công hiện tại hoặc trong tương lai. Honeypot có giá trị từ việc kẻ tấn công sử dụng. Nếu không tương tác, Honeypot sẽ hầu như không có giá trị. Honeypot có thể được sử dụng cho mọi thứ, từ làm chậm hoặc dừng các cuộc tấn công tự động, nắm bắt các khai thác mới, đến thu thập thông tin tình báo về các mối đe dọa mới nổi hoặc cảnh báo và dự đoán sớm.
Phương thức hoạt động
Honeypot hoạt động trong an ninh mạng bằng cách mô phỏng một mục tiêu giả mạo để thu hút các tấn công mạng và thâm nhập từ kẻ tấn công. Khi một kẻ tấn công tương tác hoặc cố gắng tấn công honeypot thì nó sẽ ghi lại tất cả các hành vi của kẻ tấn công. Bao gồm các phương pháp tấn công, công cụ sử dụng và mục tiêu tấn công. Sau đó, thông tin này được sử dụng để phân tích, nâng cao cảnh báo và cải thiện các chiến lược bảo mật cho hệ thống thực tế. Honeypot cũng được sử dụng để giám sát và báo cáo về các mối đe dọa tiềm ẩn, giúp các nhà quản lý mạng nhận biết và phản ứng nhanh chóng trước các mối đe dọa mới. Ngoài ra, honeypot còn có khả năng phân tích các mẫu malware và phần mềm độc hại mới, cung cấp thông tin để phát triển phần mềm diệt virus và các biện pháp bảo mật khác.
.jpg)
Hình 1. Mô hình Hệ thống
PHÂN LOẠI HONEYPOT
Dựa trên phương thức hoạt động, có thể chia các chủng loại Honeypot được sử dụng như sau:
Bẫy thu thập mã độc
Một trong các hành vi phổ biến của mã độc là tìm hiểu môi trường xung quanh, xác định lỗ hổng để lây lan tự động hoặc thủ công theo điều khiển; chính những hành vi này khiến những mã độc ẩn mình lâu năm sẽ bị lộ diện nếu lây lan sang máy tính là bẫy thu thập mã độc.
Bẫy thu thập mã độc mô phỏng các lỗ hổng trong dịch vụ mạng mà thường xuyên là mục tiêu của mã độc như SMB, HTTP, TFP và FTP; ngoài ra được trang bị thêm cảm biến phát hiện truy cập bất thường để gửi thông tin về các hành vi này về người cán bộ, để có thông tin xác định chủng loại và vị trí của mã độc.
Bẫy thu thập thủ đoạn tấn công vào tường lửa
Tường lửa là một thành phần quan trọng trong hệ thống bảo vệ các mục tiêu chứa dữ liệu quan trọng; đây cũng là lý do mà tin tặc thường cố gắng khai thác để vượt qua, tiếp cận các mục tiêu có giá trị.
Việc giả lập tường lửa với các cấu hình không chặt chẽ hoặc tồn tại lỗ hổng cho phép tin tặc khai thác để thực hiện cuộc tấn công DDos hoặc truy cập từ xa vào giao diện điều khiển của tường lửa; các lỗ hổng trên sẽ dẫn dụ tin tặc cố gắng thực thi truy cập trái phép để chiếm quyền điều khiển tường lửa.
Bẫy thu thập thủ đoạn tấn công vào giao thức SSH và Telnet
Giao thức SSH và Telnet là 2 giao thức thường xuyên bị tin tặc tấn công bằng hình thức BruteForce và khai thác để tải tệp thông tin có chứa mã độc lên máy tính.
Việc xây dựng bẫy mô phỏng lỗi trong giao thức SSH và Telnet cho phép thu thập hành vi, thủ đoạn tấn công BruteForce và các mã shellcode khai thác giao thức SSH và Telnet.
Bẫy thu thập thủ đoạn tấn công vào CSDL
Hệ thống CSDL thường được bố trí rất sâu trong hạ tầng mạng, sau nhiều lớp bảo vệ, việc khai thác được vào CSDL thường được thực hiện qua các lỗ hổng phần mềm, tạo các truy vấn trái phép đến CSDL để lấy thông tin.
Việc giả lập lỗ hổng cho phép tin tặc truy cập trái phép đến CSDL, giúp thu thập các hành vi cố ý truy cập trái phép vào CSDL của hệ thống.
Bẫy thu thập thủ đoạn tấn công các giao thức xác thực
Các giao thức ftp, telnet, ssh, rdp, http, https, pop3, pop3s, imap, imaps, smtp, vnc, postgresql và socks5 đều có chức năng xác thực như bằng mật khẩu và tài khoản; chúng là những đối tượng mà tin tặc hướng đến nhằm đánh cắp các phiên đăng nhập của người dùng cho các mục đích xấu.
Việc giả mạo các dịch vụ nêu trên và cung cấp các cổng xác thực sẽ đánh lừa tin tặc để lại dấu vết trên bẫy thu thập thủ đoạn tấn công mạng, góp phần xác định máy tính nhiễm mã độc hoặc các máy tính có hành động cố ý đánh cắp phiên xác thực.
Bẫy chuyên dụng thu thập thủ đoạn tấn công vào máy chủ Email
Email là một trong các hệ thống thông tin liên lạc quan trọng trong mang máy tính, chứa nhiều dữ liệu quan trọng do các bên liên quan tham gia trao đổi liên lạc. Các hệ thống Email là những mục tiêu hàng đầu được các tin tặc quan tâm và thực hiện các hành động tấn công.
Vì vậy, bằng việc giả lập máy chủ Mail, bẫy thu thập thủ đoạn tấn công được thiết kế chuyên dụng cho việc đánh lừa tin tặc tấn công vào hệ thống Email.
VỊ TRÍ TRIỂN KHAI HONEYPOT
Có 3 vùng chính để đặt hệ thống:
– External Placement (đặt ở vùng ngoài).
– Internal Placement (đặt ở vùng trong).
– DMZ Placement (đặt ở vùng DMZ)
Mỗi vùng để đặt bẫy thu thập đều có những ưu điểm và nhược điểm tùy theo mục đích của việc tạo ra bẫy để làm gì.
Đặt ở vùng ngoài: Là vùng nằm ngoài với vị trí này thì sẽ không có tường lửa đứng trước bẫy, các bẫy và mạng lưới bẫy sẽ chia sẻ cùng một địa chỉ IP subnet công cộng. Các bẫy đặt vị trí này sẽ có tác dụng thu thập các cuộc tấn công từ bên ngoài vùng mạng của đơn vị. Tuy nhiên, các bẫy đặt tại vị trí này thường dễ bị tin tặc phát hiện do tính không hợp lý trong mô hình mạng.
Đặt ở vùng trong: Vị trí bẫy nằm bên trong mạng và tường lửa ở giữa ngăn cách với vùng mạng WAN. Vị trí này là cách tốt nhất để tạo ra một hệ thống cảnh báo sớm cho biết bất kỳ sự khai thác từ bên ngoài vào hoặc cảnh báo các nguy cơ xuất phát từ máy tính nội bộ cùng một lúc.
Đặt ở vùng DMZ: là một vùng mạng nằm riêng lẻ so với LAN nhằm mục đích đặt những máy chủ dịch vụ công khai như Web Server, Mail Server, Ftp Server. Các bẫy trong DMZ là một vị trí tốt cho việc thiết lập, nhưng việc cài đặt, cấu hình rất phức tạp, cần phải sự tham gia thủ công của cán bộ CNTT tại các đơn vị, ảnh hưởng đến khả năng triển khai diện rộng của hệ thống.
Ngoài ra, vì bẫy nằm trên DMZ nên các cảnh báo sẽ không kịp thời nếu nguồn gốc cuộc tấn công bắt đầu từ mạng nội bộ (lúc này, mạng nội bộ đã bị tấn công thành công). Tùy vào mục đích dụ dỗ kẻ tấn công, có thể triển khai Honeypot ở các vùng khác nhau cho phù hợp, mang lại hiệu quả và không ảnh hưởng đến các vùng mạng khác của hệ thống.
RỦI RO KHI TRIỂN KHAI HONEYPOT
Ngoài những lợi ích kể trên, Honeypot cũng tồn tại một số rủi ro, cụ thể như sau:
Bị phát hiện bởi kẻ tấn công: Một trong những rủi ro lớn nhất của honeypot là nếu kẻ tấn công phát hiện ra rằng họ đang tương tác với một honeypot, họ có thể sử dụng thông tin này để tấn công ngược lại hệ thống thực. Thậm chí, họ có thể tìm cách phá hủy hoặc làm rối loạn các dữ liệu mà honeypot thu thập.
Tạo cơ hội tấn công vào mạng nội bộ: Honeypot cần phải được cấu hình cẩn thận để không trở thành một điểm yếu trong hệ thống. Nếu cấu hình không đúng cách, kẻ tấn công có thể sử dụng honeypot để xâm nhập vào các hệ thống thực của tổ chức thay vì bị giữ chân tại honeypot.
Tốn nhiều tài nguyên quản lý và bảo trì: Honeypot đòi hỏi phải được theo dõi, cập nhật và bảo trì liên tục để đảm bảo hoạt động hiệu quả. Điều này đòi hỏi chi phí về thời gian, nguồn lực và công nghệ, đôi khi vượt quá lợi ích mà honeypot mang lại.
Thu hút các cuộc tấn công nguy hiểm hơn: Khi sử dụng honeypot, tổ chức có thể vô tình thu hút các cuộc tấn công lớn hoặc phức tạp hơn từ các hacker, vì chúng có thể xem đó là một cơ hội tốt để thử nghiệm các kỹ thuật tấn công mới.
Thông tin sai lệch: Dữ liệu thu thập từ honeypot có thể không phải lúc nào cũng phản ánh đúng hiện trạng của hệ thống thực. Các cuộc tấn công vào honeypot có thể không giống với các cuộc tấn công vào hệ thống thật, dẫn đến việc phân tích không chính xác.
Khả năng Legal và đạo đức: Một số quốc gia có thể coi việc sử dụng honeypot như là một hành động khiêu khích hoặc vi phạm pháp luật, đặc biệt khi honeypot được sử dụng để tương tác hoặc gây ra các phản ứng từ các hacker mà không có sự cho phép.
| TÀI LIỆU THAM KHẢO [1]. Cole, Eric; Northcutt, Stephen. “Honeypots: A Security Manager’s Guide to Honeypots”. [2]. Provos, N. “A Virtual Honeypot Framework”. USENIX. Retrieved 29 April 2023. [3]. Mairh, A; Barik, D; Verma, K; Jena, D (2011). “Honeypot in network security: A survey”. Proceedings of the 2011 International Conference on Communication, Computing & Security – ICCCS ’11. Vol. 1. pp. 600–605. doi:10.1145/1947940.1948065. ISBN 978-1-4503-0464-1. S2CID 12724269. Retrieved 29 April 2023. |
Nguồn: Tạp chí ATTT
