-
06/07/2013
-
796
-
1.304 bài viết
Tổng quan về honeypot
Bạn đã từng nghe qua thuật ngữ honeypot nhưng chưa biết đó là gì? Có những loại honeypot nào và mục đích để làm gì? Nếu có những thắc mắc trên mời bạn xem qua bài viết sau.
Honeypot là gì?
Trong lĩnh vực an ninh mạng, "honeypot" có thể hiểu đơn giản là một hệ thống máy tính được dựng lên với mục đích làm mồi nhử cho những kẻ tấn công. Những hệ thống này có thể tồn tại những lỗ hổng bảo mật nhất định hoặc được thiết lập kém bảo mật tùy vào người xây dựng honeypot, khi kẻ xấu tấn công vào, những người đứng sau hệ thống này sẽ có thể theo dõi quá trình tấn công, công cụ, mã khai thác... của chúng. Từ đó đưa ra các giải pháp phòng chống phù hợp trước các cuộc công trong tương lai.
Ví dụ: các nhà nghiên cứu dựng các hệ thống honeypot chạy Microsoft Exchange Server với dữ liệu giả để theo dõi hoạt động khai thác các lỗ hổng đã được công bố, phát hiện các lỗ hổng mới...
Phân loại honeypot theo cấp độ
Low-interaction honeypot
Đây là kiểu honeypot đơn giản, sử dụng ít tài nguyên đồng thời thông tin thu thập được cũng ở mức cơ bản. Chúng có thể triển khai dễ dàng và nhanh chóng dưới dạng mô phỏng cơ bản các các dịch vụ mạng, giao thức TCP và IP.
High-interaction honeypots
Đây là kiểu honeypot phức tạp nhằm thu hút nhiều thời gian và thao tác của kẻ tấn công. Nhằm thu thập càng nhiều càng tốt về mục đích, quá trình, lỗ hổng mà kẻ tấn công muốn khai thác. Hệ thống dạng này sẽ tốn nhiều tài nguyên hơn nữa để triển khai cũng như giám sát cần người có kinh nghiệm vì nếu honeypot không bảo mật đúng cách sẽ bị tin tặc khai thác.
Phân loại honeypot theo mục đích sử dụng
Tùy vào cơ chế hoạt động, mục đích sử dụng sẽ có những loại honeypot khác nhau như sau.
Email trap
Đây là một địa chỉ email được tạo ra và đưa vào website để người dùng thông thường không tìm thấy nhưng để các công cụ thu thập tự động có thể tìm ra và để những kẻ spam gửi email. Địa chỉ email này thực tế là một cái bẫy chỉ để nhận email rác. Khi những email rác được gửi vào địa chỉ này dữ liệu sẽ được phân tích và thu thập để đưa vào bộ lọc nhằm ngăn chặn người dùng nhận được những email tương tự.
Decoy database / Database honeypot
Một cơ sở dữ liệu cũng có thể được lập ra để bẫy và theo dõi những cuộc tấn công SQL injection, khai thác dịch vụ của SQL... Với dạng honeypot này có thể triển khai bằng cách sử dụng tường lửa cơ sở dữ liệu (database firewall).
Malware honeypot
Đây là dạng honeypot thường được sử dụng bởi các công ty bảo mật, các chuyên gia nghiên cứu mã độc với mục đích phát hiện mã độc. Ví dụ sử dụng honeypot mô phỏng một thiết bị USB, nếu một máy bị nhiễm mã độc lây nhiễm qua USB, honeypot sẽ đánh lừa mã độc lây nhiễm sang thiết bị giả lập.
Spider honeypot
Spider honeypot được dùng để bẫy các webcrawler/spider bằng cách tạo ra những trang web và những liên kết mà chỉ các crawler mới có thể truy cập. Sau đó dùng thông tin thu thập được để chặn các crawler độc hại.
Honeynet
Honeynet là một mạng bao gồm nhiều honeypot với nhiều loại khác nhau tạo thành có thể dùng để nghiên cứu các kiểu tấn công như DDos, tấn công vào CDN (content delivery network), tấn công của ransomware. Honeynet được sử dụng nhằm theo nghiên cứu quá trình cũng như phương pháp của kẻ tấn công đồng thời lưu lại traffic vào/ra hệ thống phục vụ mục đích theo dõi phân tích.
Lợi ích của việc sử dụng honeypot
Honeypot là gì?
Trong lĩnh vực an ninh mạng, "honeypot" có thể hiểu đơn giản là một hệ thống máy tính được dựng lên với mục đích làm mồi nhử cho những kẻ tấn công. Những hệ thống này có thể tồn tại những lỗ hổng bảo mật nhất định hoặc được thiết lập kém bảo mật tùy vào người xây dựng honeypot, khi kẻ xấu tấn công vào, những người đứng sau hệ thống này sẽ có thể theo dõi quá trình tấn công, công cụ, mã khai thác... của chúng. Từ đó đưa ra các giải pháp phòng chống phù hợp trước các cuộc công trong tương lai.
Ví dụ: các nhà nghiên cứu dựng các hệ thống honeypot chạy Microsoft Exchange Server với dữ liệu giả để theo dõi hoạt động khai thác các lỗ hổng đã được công bố, phát hiện các lỗ hổng mới...
Phân loại honeypot theo cấp độ
Low-interaction honeypot
Đây là kiểu honeypot đơn giản, sử dụng ít tài nguyên đồng thời thông tin thu thập được cũng ở mức cơ bản. Chúng có thể triển khai dễ dàng và nhanh chóng dưới dạng mô phỏng cơ bản các các dịch vụ mạng, giao thức TCP và IP.
High-interaction honeypots
Đây là kiểu honeypot phức tạp nhằm thu hút nhiều thời gian và thao tác của kẻ tấn công. Nhằm thu thập càng nhiều càng tốt về mục đích, quá trình, lỗ hổng mà kẻ tấn công muốn khai thác. Hệ thống dạng này sẽ tốn nhiều tài nguyên hơn nữa để triển khai cũng như giám sát cần người có kinh nghiệm vì nếu honeypot không bảo mật đúng cách sẽ bị tin tặc khai thác.
Phân loại honeypot theo mục đích sử dụng
Tùy vào cơ chế hoạt động, mục đích sử dụng sẽ có những loại honeypot khác nhau như sau.
Email trap
Đây là một địa chỉ email được tạo ra và đưa vào website để người dùng thông thường không tìm thấy nhưng để các công cụ thu thập tự động có thể tìm ra và để những kẻ spam gửi email. Địa chỉ email này thực tế là một cái bẫy chỉ để nhận email rác. Khi những email rác được gửi vào địa chỉ này dữ liệu sẽ được phân tích và thu thập để đưa vào bộ lọc nhằm ngăn chặn người dùng nhận được những email tương tự.
Decoy database / Database honeypot
Một cơ sở dữ liệu cũng có thể được lập ra để bẫy và theo dõi những cuộc tấn công SQL injection, khai thác dịch vụ của SQL... Với dạng honeypot này có thể triển khai bằng cách sử dụng tường lửa cơ sở dữ liệu (database firewall).
Malware honeypot
Đây là dạng honeypot thường được sử dụng bởi các công ty bảo mật, các chuyên gia nghiên cứu mã độc với mục đích phát hiện mã độc. Ví dụ sử dụng honeypot mô phỏng một thiết bị USB, nếu một máy bị nhiễm mã độc lây nhiễm qua USB, honeypot sẽ đánh lừa mã độc lây nhiễm sang thiết bị giả lập.
Spider honeypot
Spider honeypot được dùng để bẫy các webcrawler/spider bằng cách tạo ra những trang web và những liên kết mà chỉ các crawler mới có thể truy cập. Sau đó dùng thông tin thu thập được để chặn các crawler độc hại.
Honeynet
Honeynet là một mạng bao gồm nhiều honeypot với nhiều loại khác nhau tạo thành có thể dùng để nghiên cứu các kiểu tấn công như DDos, tấn công vào CDN (content delivery network), tấn công của ransomware. Honeynet được sử dụng nhằm theo nghiên cứu quá trình cũng như phương pháp của kẻ tấn công đồng thời lưu lại traffic vào/ra hệ thống phục vụ mục đích theo dõi phân tích.
Lợi ích của việc sử dụng honeypot
- Có thể theo dõi được quá trình và kỹ thuật mà những kẻ tấn công sử dụng.
- Giúp thu thập thông tin về những kẻ tấn công.
- Xây dựng phương án phòng thủ dựa trên dữ liệu thu được.
- Giúp tổ chức đánh lạc hướng, làm mất thời gian những kẻ tấn công từ bên ngoài.
- Giúp phát hiện sớm những nguy cơ tiềm ẩn từ nội bộ doanh nghiệp.
- Honeypot không được bảo mật tốt có thể bị lợi dụng để tấn công vào hệ thống thật của tổ chức, doanh nghiệp.
- Một hệ thống honeypot vẫn có thể bị những kẻ tấn công có kinh nghiệm phát hiện và làm sai lệch dữ liệu honeypot cần thu thập nhằm đánh lạc hướng.
