Sandbox, Honeypot, Container: Định nghĩa và so sánh

  Khi máy tính mới được phát minh, nó chỉ có thể thực thi một chương trình duy nhất có toàn quyền truy cập vào tất cả phần cứng trên máy tính. Khi công nghệ phát triển và máy tính trở nên mạnh hơn, các nhà nghiên cứu nhận ra rằng có lẽ sẽ hợp lý hơn khi để một số chương trình truy cập tài nguyên hệ thống cùng một lúc. 

Nhưng cái giá phải trả cho điều này là an ninh. Một chuỗi code xấu hoặc phần mềm độc hại có thể lây nhiễm vào máy tính, lây lan trên toàn bộ mạng và gây lỗi cho toàn hệ thống. Một số chiến thuật phòng thủ mạng đã được phát triển để ngăn chặn sự lây lan của các vectơ đe dọa.

Sandbox, honeypot và software container là một số công nghệ phổ biến giúp phát hiện các mối đe dọa và quan sát hành vi của những kẻ tấn công trong một môi trường an toàn. Nhưng những thuật ngữ đó có nghĩa là gì?  

Sandbox (hộp cát) là gì?

Sandbox là quá trình bạn tạo một môi trường thử nghiệm cô lập và được kiểm soát để thực thi code của mình. Ý tưởng này bắt nguồn từ hộp cát của một đứa trẻ, trong đó đồ chơi và cát được đựng trong một thùng nhỏ, để trẻ có thể chơi một cách an toàn và không làm bẩn ra xung quanh.

Với sandbox, các nhà phát triển có thể kiểm tra code mới hoặc code thử nghiệm trong một môi trường hạn chế và ngăn một chuỗi code độc hại lây lan ra toàn bộ mạng.

Sandbox cũng cho phép các chuyên gia bảo mật phân tích code cũ để tìm các mối đe dọa có thể xảy ra. Bằng cách cô lập môi trường thử nghiệm, họ có thể đánh giá code mà không ảnh hưởng đến hệ điều hành hoặc thiết bị chủ.

 Ưu điểm của sandbox

• Kiểm tra các thay đổi trong các dự án trước khi triển khai.
• Phân tích các ứng dụng có khả năng gây hại để tìm ra lỗ hổng.
• Hạn chế thiết bị chủ tiếp xúc với các mối đe dọa tiềm ẩn.
• Phát hiện các mối đe dọa zero-day.

Honeypot là gì?

Thuật ngữ “honeypot” (vại mật) lần đầu tiên được Clifford Stoll dùng trong cuốn sách kinh dị về điệp viên “The Cuckoo’s Egg”, trong đó ông mô tả một phương pháp dùng để ngăn chặn hoạt động gián điệp máy tính. Mặc dù khái niệm này xuất hiện vào năm 1986, nhưng phải đến năm 1999, các chuyên gia bảo mật mới bắt đầu dùng honeypot để nghiên cứu hành vi tội phạm mạng trong một môi trường được bảo mật. 

Chiến thuật honeypot là việc cố tình tạo ra các hệ thống dễ bị tấn công để thu hút sự chú ý từ tin tặc. Nó có mục đích thu thập dữ liệu chính xác về những kẻ tấn công có thể bị bỏ sót bởi các công cụ phát hiện.

Khi thiết lập chiến lược honeypot, trước tiên, một tổ chức sẽ kích hoạt một vài máy chủ hoặc hệ thống nhạy cảm và để lại một vài lỗ hổng. Bằng cách để ngỏ thông tin quan trọng, honeypot dụ tin tặc vào một môi trường được kiểm soát.

Khi tin tặc xâm nhập vào mạng, các nhà nghiên cứu an ninh có thể quan sát hành vi của chúng và thu thập thông tin quan trọng như địa chỉ IP, cổng và tệp đang được truy cập. Dữ liệu này sau đó được dùng để cải thiện an ninh mạng và triển khai các cơ chế phòng thủ mới để chống lại các cuộc tấn công tương tự. 

Ưu điểm của Honeypot

• Theo dõi những kẻ tấn công và giám sát hoạt động của chúng.
• Thu thập thông tin quan trọng về những kẻ tấn công để ngăn chặn các cuộc xâm nhập trong tương lai.
• Thu thập thông tin về mối đe dọa các cuộc tấn công zero-day.

Software container là gì?

Software container (tạm dịch là hộp chứa phần mềm) là một công nghệ tương đối mới. Các công ty công nghệ lớn như Microsoft, Google và Facebook đều dùng container để tạo môi trường không gian người dùng biệt lập cho các ứng dụng của họ.

Container hoạt động bằng cách gói tất cả các thành phần của ứng dụng như tệp nhị phân, thư viện và tất cả các phần phụ thuộc của nó, vào một đơn vị duy nhất được gọi là hình ảnh container.Hình ảnh này sau đó có thể chạy trong một không gian biệt lập trên cùng một hệ điều hành được dùng bởi tất cả các container khác.

Hệ điều hành máy chủ hạn chế container trong việc truy cập tài nguyên vật lý của hệ thống, do đó, một container duy nhất không thể tiêu thụ toàn bộ tài nguyên của máy chủ. Điều này có nghĩa là dù điều gì xảy ra trong một container thì tác động của nó chỉ giới hạn ở trong đó.

Container cũng giúp loại bỏ các vấn đề tương thích nền tảng vì tất cả các thành phần cần thiết để chạy một ứng dụng đều được lưu giữ trong container.

Ưu điểm của Software container

• Container nhẹ vì chúng chỉ chứa các thành phần cơ bản và phần phụ thuộc của một ứng dụng.
• Giải quyết các vấn đề liên quan khả năng tương thích.
• Có thể dễ dàng triển khai trên hầu hết mọi nơi.
• Có khả năng mở rộng.

Sử dụng Sandbox, Honeypot và Container

Sandbox, honeypot và container đều là những công nghệ hữu ích trong an ninh mạng, tuy nhiên việc quyết định dùng công nghệ bảo mật nào có thể khó khăn.

Bạn đang tìm cách để phân tích các ứng dụng có khả năng gây hại hoặc ngăn chặn các mối đe dọa có thể xảy ra? Trong trường hợp này, sandbox có thể là một lựa chọn tốt. Bạn muốn theo dõi những kẻ tấn công và đề ra một chiến lược chống lại sự xâm nhập trong tương lai? Trong trường hợp đó, honeypot có thể phù hợp hơn. 

Vân Nguyễn

Dịch từ: https://www.makeuseof.com/sandboxes-honeypots-software-containers/