Honeypot và vai trò trong phòng chống tấn công mạng

Là mồi nhử thu hút các tác nhân đe dọa, honeypot (hũ mật ong) được các chuyên gia an ninh mạng sử dụng nhằm kiểm tra lỗ hổng của network.

• Vai trò của phát hiện xâm nhập bằng AI trong phòng thủ mạng
• Vai trò của AI trong việc tăng cường an ninh mạng
• Lập trình mạng là gì? Hướng dẫn lập trình mạng đơn giản
• Tìm hiểu các thông tin xoay quanh lập trình ngôn ngữ tư duy
• Machine learning trong các nền tảng bảo vệ ứng dụng đám mây

An ninh mạng không phải lúc nào cũng là tình huống tin tặc tấn công mạng. Nhờ hệ thống máy tính mồi nhử có tên honeypot (hũ mật), vai trò kẻ tấn công đôi khi lại bị đảo ngược.

Nhưng chính xác thì honeypot là gì và nó giúp ngăn chặn tấn công mạng như thế nào? Có những loại honeypot nào và có rủi ro đi kèm không? Hãy cùng tìm hiểu qua bài viết dưới đây.

1. Honeypot là gì?

Honeypot là công nghệ đánh lừa được các đội an ninh mạng sử dụng để gài bẫy các tác nhân đe dọa. Là một phần không thể thiếu của hệ thống phát hiện và cảnh báo đe dọa, honeypot mô phỏng các cơ sở hạ tầng, dịch vụ và cấu hình thiết yếu để lừa tin tặc tương tác với hệ thống tài nguyên thông tin giả này.

Honeypot thường được triển khai bên cạnh hệ thống sản xuất đã hoạt động của một tổ chức và là một công cụ đắt giá để thu thập thông tin về hành vi, phương thức và chiến lược hành động của kẻ tấn công.

>>> Xem thêm: Sandbox, Honeypot, Container: Định nghĩa và so sánh

2. Honeypot có giúp giảm thiểu các cuộc tấn công mạng không?

Honeypot thu hút tin tặc bằng cách cố tình để lộ một phần hệ thống cho các tác nhân đe dọa. Điều này cho phép các tổ chức thực hiện một cuộc tấn công mạng trong môi trường được kiểm soát nhằm đánh giá lỗ hổng tiềm ẩn trong hệ thống.

Mục tiêu sau cùng của honeypot là nâng cao an toàn thông tin của tổ chức bằng cách sử dụng cơ chế bảo mật thích ứng. Honeypot được cấu hình chuẩn có thể giúp thu thập thông tin về:

• Nguồn gốc của cuộc tấn công
• Hành vi và trình độ của kẻ tấn công
• Các mục tiêu dễ bị tấn công nhất trong network
• Kỹ năng và chiến thuật được kẻ tấn công sử dụng
• Hiệu quả của các chính sách an ninh hiện có trong giảm thiểu các cuộc tấn công tương tự.

Một lợi thế lớn của honeypot là nó có thể được chuyển đổi từ bất kỳ máy chủ tệp, bộ định tuyến hay tài nguyên nào trong mạng. Bên cạnh việc thu thập thông tin về các vi phạm bảo mật, honeypot cũng có thể làm giảm nguy cơ báo động giả bởi nó chỉ thu hút tội phạm mạng thực sự

>>> Xem thêm: 7 công việc tốt nhất trong an ninh mạng (Cyber-security)

3. Một số loại honeypot

Honeypot có nhiều loại, tùy thuộc vào cách triển khai. 

3.1 Honeypot chia theo mục đích

Honeypot chủ yếu được phân loại theo mục đích sử dụng.

Honeypot sản xuất: Là loại phổ biến nhất và được dùng trong thu thập thông tin về các cuộc tấn công nhằm vào mạng sản xuất. Honeypot sản xuất tổng hợp các thông tin như địa chỉ IP, số lần vi phạm bảo mật, thời gian, lưu lượng truy cập và khối lượng. Do đặc điểm dễ thiết kế và triển khai nhưng không thể cung cấp dữ liệu phức tạp, chúng chủ yếu được sử dụng bởi các công ty tư nhân, người nổi tiếng và chính khách. 

Honeypot nghiên cứu: Phức tạp hơn honeypot sản xuất là honeypot nghiên cứu, được tạo ra để lấy thông tin về phương pháp và chiến thuật cụ thể của hacker, đồng thời cũng để phát hiện lỗ hổng tiềm ẩn tồn tại trong một hệ thống. Chúng là lựa chọn của các tổ chức chính phủ, cộng đồng tình báo và các tổ chức nghiên cứu để ước tính rủi ro bảo mật.

3.2 Honeypot chia theo mức độ tương tác

Honeypot cũng có thể được phân loại theo thuộc tính. 

Honeypot tương tác cao: Các honeypot này không chứa quá nhiều dữ liệu. Chúng không thể bắt chước y chang hệ thống sản xuất, song lại chạy tất cả các dịch vụ mà một hệ thống sẽ có – chẳng hạn như hệ điều hành toàn năng. Loại honeypot này cho phép các nhóm bảo mật quan sát động thái và chiến lược của kẻ tấn công trong thời gian thực. Honeypot tương tác cao thường tiêu tốn rất nhiều tài nguyên và dẫn đến thách thức trong việc bảo trì nhưng đó là cái giá tương xứng với hiệu quả của nó.

>>> Xem thêm: Bạn có biết học ngành An ninh mạng ra làm gì không?

Honeypot tương tác thấp: Hầu hết honeypot loại này được triển khai trong môi trường sản xuất. Bằng cách chạy trên một số dịch vụ hạn chế, chúng đóng vai trò cảnh báo sớm. Phần lớn honeypot tương tác thấp sẽ không hoạt động cho đến khi có sự cố xảy ra. Vì các honeypot này không được thiết kế với đầy đủ dịch vụ, thông tin thu được từ chúng cũng không đa dạng. Tuy nhiên, chúng khá dễ triển khai. Một ví dụ tiêu biểu về honeypot tương tác thấp là chương trình tự động quét lỗ hổng trong lưu lượng truy cập internet như các chương trình SSH, tấn công Brute forces và kiểm tra dữ liệu đầu vào.

3.3 Honeypot chia theo hoạt động

Honeypot còn có thể được phân loại dựa trên hoạt động mà chúng kiểm soát.

Honeypot phần mềm độc hại: Tin tặc đôi khi tấn công các hệ thống sơ hở bằng cách lưu trữ một phần mềm độc hại lên đó. Vì địa chỉ IP không nằm trong danh sách đe dọa, hành vi này trở nên dễ thực hiện hơn. Trong trường hợp này, honeypot có thể được dùng để bắt chước một chiếc USB. Khi máy tính bị tấn công, honeypot lừa phần mềm độc hại chuyển hướng tới chiếc USB giả lập này, nhờ đó đội bảo mật thu được lượng lớn mẫu phần mềm độc hại mới từ những kẻ tấn công.

Honeypot spam: Honeypot spam sử dụng proxy mở và chế độ chuyển tiếp thư để thu hút những kẻ gửi thư rác (spammers) và thu thập thông tin về thư rác mới cũng như thư rác trên nền tảng email. Sở dĩ làm được như vậy là bởi spammers sẽ kiểm tra chế độ chuyển tiếp thư bằng cách dùng nó để gửi email cho chính mình. Khi spammer chuyển tiếp thành công lượng lớn thư rác, honeypot sẽ xác định và chặn được hoạt động kiểm tra đó. Bất kì rơle SMTP mở giả nào cũng có thể trở thành honeypot spam vì chúng cung cấp thông tin về xu hướng gửi thư rác và định vị được kẻ chủ mưu.

Honeypot máy khách: Đúng như tên gọi, honeypot máy khách bắt chước các phần thiết yếu trong môi trường máy khách nhằm chống lại những cuộc tấn công có chủ đích hơn. Dù không chứa dữ liệu, song chúng có thể khiến máy chủ giả mạo trông không khác gì máy chủ hợp pháp. Ví dụ điển hình cho honeypot máy khách là việc sử dụng dữ liệu in dấu tay như thông tin hệ điều hành, cổng mở và dịch vụ đang chạy.

4. Thận trọng khi dùng honeypot

Dù có rất nhiều ưu điểm, song honeypot cũng tiềm ẩn nguy cơ bị lợi dụng. Honeypot tương tác thấp có thể không mang đến nhiều rủi ro nhưng loại tương tác cao thì có. Một honeypot chạy trên hệ điều hành thực với các dịch vụ và chương trình có thể vừa khó triển khai vừa vô tình làm tăng nguy cơ xâm nhập từ bên ngoài nếu bị cấu hình không chính xác. 

Không chỉ vậy, tin tặc đang ngày càng trở nên thông minh hơn và có khả năng sẽ săn tìm những honeypot có cấu hình không ổn định để chiếm đoạt hệ thống nối với honeypot đó. Trước khi mạo hiểm sử dụng honeypot, hãy nhớ rằng honeypot càng đơn giản thì rủi ro càng thấp.

>>> Nếu bạn đang có nhu cầu học lập trình trực tuyến, tìm hiểu ngay tại đây:

>>> Xem thêm các chủ đề hữu ích:

• Tất cả những điều bạn cần biết về khóa học lập trình tại FUNiX FPT
• 5 Điểm đáng chú ý tại khóa học lập trình trực tuyến FPT – FUNiX
• Từ A-Z chương trình học FUNiX – Mô hình đào tạo lập trình trực tuyến số 1 Việt Nam
• Lý do phổ biến khiến học viên nước ngoài chọn FUNiX
• Trí tuệ nhân tạo đang thay đổi an ninh mạng như thế nào?
• Theo Microsoft, Cryptojacking là mối đe dọa lớn nhất với an ninh mạng
• Bảo mật thích ứng và vai trò trong an ninh mạng
• 4 lợi ích và thách thức hàng đầu của AI trong ngành an ninh mạng

Trần Bảo Trân (theo Makeuseof)