Honeypot và vai trò trong phòng chống tấn công mạng

Chia sẻ kiến thức 11/12/2021

Là mồi nhử thu hút các tác nhân đe dọa, honeypot (hũ mật ong) được các chuyên gia an ninh mạng sử dụng nhằm kiểm tra lỗ hổng của network.

An ninh mạng không phải lúc nào cũng là tình huống tin tặc tấn công mạng. Nhờ hệ thống máy tính mồi nhử có tên honeypot (hũ mật), vai trò kẻ tấn công đôi khi lại bị đảo ngược.

Nhưng chính xác thì honeypot là gì và nó giúp ngăn chặn tấn công mạng như thế nào? Có những loại honeypot nào và có rủi ro đi kèm không? Hãy cùng tìm hiểu qua bài viết dưới đây.

Honeypot là gì?

Honeypot là công nghệ đánh lừa được các đội an ninh mạng sử dụng để gài bẫy các tác nhân đe dọa. Là một phần không thể thiếu của hệ thống phát hiện và cảnh báo đe dọa, honeypot mô phỏng các cơ sở hạ tầng, dịch vụ và cấu hình thiết yếu để lừa tin tặc tương tác với hệ thống tài nguyên thông tin giả này.

Honeypot thường được triển khai bên cạnh hệ thống sản xuất đã hoạt động của một tổ chức và là một công cụ đắt giá để thu thập thông tin về hành vi, phương thức và chiến lược hành động của kẻ tấn công.

Honeypot có giúp giảm thiểu các cuộc tấn công mạng không?

Honeypot thu hút tin tặc bằng cách cố tình để lộ một phần hệ thống cho các tác nhân đe dọa. Điều này cho phép các tổ chức thực hiện một cuộc tấn công mạng trong môi trường được kiểm soát nhằm đánh giá lỗ hổng tiềm ẩn trong hệ thống.

Mục tiêu sau cùng của honeypot là nâng cao an toàn thông tin của tổ chức bằng cách sử dụng cơ chế bảo mật thích ứng. Honeypot được cấu hình chuẩn có thể giúp thu thập thông tin về:

  • Nguồn gốc của cuộc tấn công
  • Hành vi và trình độ của kẻ tấn công
  • Các mục tiêu dễ bị tấn công nhất trong network
  • Kỹ năng và chiến thuật được kẻ tấn công sử dụng
  • Hiệu quả của các chính sách an ninh hiện có trong giảm thiểu các cuộc tấn công tương tự.

Một lợi thế lớn của honeypot là nó có thể được chuyển đổi từ bất kỳ máy chủ tệp, bộ định tuyến hay tài nguyên nào trong mạng. Bên cạnh việc thu thập thông tin về các vi phạm bảo mật, honeypot cũng có thể làm giảm nguy cơ báo động giả bởi nó chỉ thu hút tội phạm mạng thực sự

Một số loại honeypot

Honeypot có nhiều loại, tùy thuộc vào cách triển khai. 

Honeypot chia theo mục đích

Honeypot chủ yếu được phân loại theo mục đích sử dụng.

Honeypot sản xuất: Là loại phổ biến nhất và được dùng trong thu thập thông tin về các cuộc tấn công nhằm vào mạng sản xuất. Honeypot sản xuất tổng hợp các thông tin như địa chỉ IP, số lần vi phạm bảo mật, thời gian, lưu lượng truy cập và khối lượng. Do đặc điểm dễ thiết kế và triển khai nhưng không thể cung cấp dữ liệu phức tạp, chúng chủ yếu được sử dụng bởi các công ty tư nhân, người nổi tiếng và chính khách. 

Honeypot nghiên cứu: Phức tạp hơn honeypot sản xuất là honeypot nghiên cứu, được tạo ra để lấy thông tin về phương pháp và chiến thuật cụ thể của hacker, đồng thời cũng để phát hiện lỗ hổng tiềm ẩn tồn tại trong một hệ thống. Chúng là lựa chọn của các tổ chức chính phủ, cộng đồng tình báo và các tổ chức nghiên cứu để ước tính rủi ro bảo mật.

Honeypot chia theo mức độ tương tác

Honeypot cũng có thể được phân loại theo thuộc tính. 

Honeypot tương tác cao: Các honeypot này không chứa quá nhiều dữ liệu. Chúng không thể bắt chước y chang hệ thống sản xuất, song lại chạy tất cả các dịch vụ mà một hệ thống sẽ có – chẳng hạn như hệ điều hành toàn năng. Loại honeypot này cho phép các nhóm bảo mật quan sát động thái và chiến lược của kẻ tấn công trong thời gian thực. Honeypot tương tác cao thường tiêu tốn rất nhiều tài nguyên và dẫn đến thách thức trong việc bảo trì nhưng đó là cái giá tương xứng với hiệu quả của nó.

Honeypot tương tác thấp: Hầu hết honeypot loại này được triển khai trong môi trường sản xuất. Bằng cách chạy trên một số dịch vụ hạn chế, chúng đóng vai trò cảnh báo sớm. Phần lớn honeypot tương tác thấp sẽ không hoạt động cho đến khi có sự cố xảy ra. Vì các honeypot này không được thiết kế với đầy đủ dịch vụ, thông tin thu được từ chúng cũng không đa dạng. Tuy nhiên, chúng khá dễ triển khai. Một ví dụ tiêu biểu về honeypot tương tác thấp là chương trình tự động quét lỗ hổng trong lưu lượng truy cập internet như các chương trình SSH, tấn công Brute forces và kiểm tra dữ liệu đầu vào.

Honeypot chia theo hoạt động

Honeypot còn có thể được phân loại dựa trên hoạt động mà chúng kiểm soát.

Honeypot phần mềm độc hại: Tin tặc đôi khi tấn công các hệ thống sơ hở bằng cách lưu trữ một phần mềm độc hại lên đó. Vì địa chỉ IP không nằm trong danh sách đe dọa, hành vi này trở nên dễ thực hiện hơn. Trong trường hợp này, honeypot có thể được dùng để bắt chước một chiếc USB. Khi máy tính bị tấn công, honeypot lừa phần mềm độc hại chuyển hướng tới chiếc USB giả lập này, nhờ đó đội bảo mật thu được lượng lớn mẫu phần mềm độc hại mới từ những kẻ tấn công.

Honeypot spam: Honeypot spam sử dụng proxy mở và chế độ chuyển tiếp thư để thu hút những kẻ gửi thư rác (spammers) và thu thập thông tin về thư rác mới cũng như thư rác trên nền tảng email. Sở dĩ làm được như vậy là bởi spammers sẽ kiểm tra chế độ chuyển tiếp thư bằng cách dùng nó để gửi email cho chính mình. Khi spammer chuyển tiếp thành công lượng lớn thư rác, honeypot sẽ xác định và chặn được hoạt động kiểm tra đó. Bất kì rơle SMTP mở giả nào cũng có thể trở thành honeypot spam vì chúng cung cấp thông tin về xu hướng gửi thư rác và định vị được kẻ chủ mưu.

Honeypot máy khách: Đúng như tên gọi, honeypot máy khách bắt chước các phần thiết yếu trong môi trường máy khách nhằm chống lại những cuộc tấn công có chủ đích hơn. Dù không chứa dữ liệu, song chúng có thể khiến máy chủ giả mạo trông không khác gì máy chủ hợp pháp. Ví dụ điển hình cho honeypot máy khách là việc sử dụng dữ liệu in dấu tay như thông tin hệ điều hành, cổng mở và dịch vụ đang chạy.

Thận trọng khi dùng honeypot

Dù có rất nhiều ưu điểm, song honeypot cũng tiềm ẩn nguy cơ bị lợi dụng. Honeypot tương tác thấp có thể không mang đến nhiều rủi ro nhưng loại tương tác cao thì có. Một honeypot chạy trên hệ điều hành thực với các dịch vụ và chương trình có thể vừa khó triển khai vừa vô tình làm tăng nguy cơ xâm nhập từ bên ngoài nếu bị cấu hình không chính xác. 

Không chỉ vậy, tin tặc đang ngày càng trở nên thông minh hơn và có khả năng sẽ săn tìm những honeypot có cấu hình không ổn định để chiếm đoạt hệ thống nối với honeypot đó. Trước khi mạo hiểm sử dụng honeypot, hãy nhớ rằng honeypot càng đơn giản thì rủi ro càng thấp.

Trần Bảo Trân (theo Makeuseof)

Bình luận (
0
)

Bài liên quan

Tổng quan về port scanning (quét cổng)

Khi máy tính của bạn kết nối với Internet, nó sẽ sử dụng các "port" (cổng) để giúp thực hiện công việc của mình. Cả quản trị viên mạng và tin tặc đều muốn quét các port này để tìm...

Tổng quan về network scanning

Tội phạm mạng luôn tìm kiếm network (mạng) tiếp theo để tấn công. Network scanning (quét mạng) là một phương pháp rất hữu ích để bảo vệ network của bạn.

5 môn học trong chương trình Blockchain Developer tại FUNiX có gì thú vị?

Tại đây, anh Nguyễn Hải Nam – Giám đốc Trung tâm Công nghệ Chuyên sâu xSeries đã có những chia sẻ cụ thể về chương trình đào tạo Blockchain Developer của FUNiX. Theo đó, khi tham gia chương trình này, các học...

Bí kíp giúp mẹ đồng hành cùng con gái học lập trình online

Có mặt trong buổi Ngày hội phụ huynh của FUNiX, chị Vũ Thị Vân - phụ huynh nữ sinh Nguyễn Vũ Khánh Linh của FUNiX đã tiết lộ những bí kíp giúp người mẹ đồng hành cùng con gái học...

Kinh nghiệm đồng hành cùng con học trực tuyến của phụ huynh FUNiX

Trong sự kiện “Ngày phụ huynh” đầu tiên của FUNiX diễn ra tối 15/1, ba vị phụ huynh FUNiX FUNiX đã có cuộc giao lưu trực tuyến thú vị, chia sẻ những kinh nghiệm đồng hành cùng con trong việc...

Bài liên quan

  • Tầng 0, tòa nhà FPT, 17 Duy Tân, Q. Cầu Giấy, Hà Nội
  • info@funix.edu.vn
  • 0782313602 (Zalo, Viber)        

yêu cầu gọi lại