Ứng dụng Honeypot trong bảo mật thiết bị IoT

Võ Văn Đông| 15/10/2020 20:47
Theo dõi ICTVietnam trên

Trên thế giới hiện nay đang tồn tại khoảng hơn 6 tỉ thiết bị IoT, và nếu giả sử toàn bộ các thiết bị này bị chiếm quyền điều khiển bởi tin tặc, mạng lưới botnet cho các cuộc tấn công DDoS thật sự khó kiểm soát. Tháng 5 năm 2017, qua khảo sát, hãng bảo mật Kaspersky đã xác định được hơn 7000 mẫu malware tồn tại trên thiết bị IoT.

Vấn đề bảo mật đối với thiết bị IoT

Kể từ năm 2018, số lượng các vụ tấn công mạng nhằm vào thiết bị IoT không ngừng gia tăng. Tin tặc sử dụng malware để lây nhiễm, biến các thiết bị IoT trở thành thành viên của mạng lưới botnet cho các cuộc tấn công vào hệ thống thông tin quan trọng với quy mô lớn. Thực tế đã có nhiều cuộc tấn công do thiết bị lây nhiễm malware như Hydra, Psybot, Mirai,…

Ứng dụng Honeypot trong bảo mật thiết bị IoT  - Ảnh 1.

Hình 1. Các cuộc tấn công IoT phổ biến (Nguồn:Kaspersky)

Trên thế giới hiện nay đang tồn tại khoảng hơn 6 tỉ thiết bị IoT, và nếu giả sử toàn bộ các thiết bị này bị chiếm quyền điều khiển bởi tin tặc, mạng lưới botnet cho các cuộc tấn công DDoS thật sự khó kiểm soát. Tháng 5 năm 2017, qua khảo sát, hãng bảo mật Kaspersky đã xác định được hơn 7000 mẫu malware tồn tại trên thiết bị IoT.

Ứng dụng Honeypot trong bảo mật thiết bị IoT  - Ảnh 2.

Hình 2. Thống kê malware tồn tại trên thiết bịIoT qua các năm (Nguồn: Kaspersky lab)

Tuy nhiên, để ngăn chặn vấn đề này, biện pháp xử lý không chỉ đơn giản là cài đặt một phần mềm bảo mật trên thiết bị IoT, bởi nguyên nhân khiến thiết bị lây nhiễm malware là đa dạng và rất khó kiểm soát. Do đó việc theo dõi thường xuyên hoặc dựng các hệ thống giả lập chứa các lỗ hổng bảo mật để thu hút tin tặc, từ đó đưa ra các phương án phòng thủ hợp lý được xem là biện pháp hữu hiệu. Các hệ thống giả lập này được gọi là honeypot.

Hệ thống honeypot cho thiết bị IoT

Honeypot là một hệ thống tài nguyên thông tin được xây dựng với mục đích giả dạng đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chúý của chúng, ngăn không cho chúng tiếp xúc với hệ thống thật.

Honeypot có thể giả dạng bất cứ loại máy chủ tài nguyên nào như là Mail Server, Domain Name Server, Web Server… Honeypot sẽ trực tiếp tương tác với tin tặc và tìm cách khai thác thông tin về tin tặc như hình thức tấn công, công cụ tấn công hay cách thức tiến hành thay vìbị tấn công.

Honeypot gồm hai loại chính là tương tác thấp và tương tác cao

+ Tương tác thấp (low interaction): Mô phỏng giả các dịch vụ, ứng dụng và hệ điều hành. Mức độ rủi ro thấp, dễtriển khai và bảo dưỡng nhưng bị giới hạn về dịch vụ.

+ Tương tác cao (high interaction): Là các dịch vụ, ứng dụng và hệ điều hành thực. Mức độ thông tin thu thập được cao. Nhưng rủi ro cao và tốn thời gian để vận hành và bảo dưỡng.

Ứng dụng Honeypot trong bảo mật thiết bị IoT  - Ảnh 3.

Hình 3. Honeypot cho thiết bịIoT

Tuy nhiên, trong thực tế, việc triển khai các honeypot cho thiết bị IoT không thể xây dựng theo hướng tiếp cận như quá trình xây dựng honeypot cho các hệ thống IT thông thường.

Do đó cần phải xây dựng honeypot theo kiểu mới, gọi là tương tác thông minh (Intelligent Interaction). Kiến trúc cơ bản của hệ thống này như Hình 4.

Ứng dụng Honeypot trong bảo mật thiết bị IoT  - Ảnh 4.

Hình 4. Kiến trúc hệ thống Intelligent Interaction honeypot

Hệ thống gồm có 4 thành phần chính chạy riêng biệt nhưng chia sẻ dữ liệu cho nhau trong quá trình học. IoT-Oracle là cơ sở dữ liệu trung tâm lưu trữ mọi thông tin thu được liên quan đến các thiết bị IoT. Mô-đun honeypot chứa các phiên bản honeypot đã triển khai trên Amazon AWS và Digital Ocean. Mục đích của chúng là nhận lưu lượng truy cập và tương tác với những kẻ tấn công để dụ chúng thực hiện việc khai thác thực sự. Tiếp theo sẽ đồng bộ hóa định kỳ với IoT-Oracle để đẩy yêu cầu mới nhận được sang các bảng và truy xuất bảng dữ liệu IoT để có kiến thức cập nhật về hành vi tấn công trên các thiết bị IoT.

Mô-đun IoTScanner tận dụng các yêu cầu của cuộc tấn công đã nắm bắt và rà quét để tìm bất kỳ thiết bị IoT nào có thể phản hồi các yêu cầu này. Các câu trả lời được tổng hợp sẽ được lưu trữ trong bảng phản hồi để phân tích thêm. Mô-đun IoTLearner sử dụng thuật toán học máy để tạo ra mô hình dựa trên phản hồi từ những kẻ tấn công với phản hồi nhất định. Sau nhiều lần lặp lại, honeypot có thể tối ưu hóa một mô hình để trả lời cho tin tặc, khiến tin tặc khó nhận biết được đây là hệ thống bẫy honeypot.

Vào thời điểm đầu tiên, hệ thống tương tác thông minh hoạt động giống hệt như honeypot tương tác thấp vìhầu như chưa có nhận định gìvề các thiết bị IoT và hành vi của chúng. Tuy nhiên, sau một khoảng thời gian rất ngắn, honeypot có thể nhận biết và thu thập thông tin của rất nhiều thiết bị IoT khác nhau.

Thu thập và phân tích dữ liệu qua kết quả từ honeypot

Qua triển khai hàng loạt các honeypot tại nhiều quốc gia trên thế giới, các chuyên gia bảo mật đã thu thập được một số thông tin liên quan đến hành vi của hacker (Hình 5).

Trong khi các tấn công liên quan đến dò quét brute force mật khẩu truy cập từ xa qua giao thức telnet xuất phát với tỉ lệ cao từ các IP của Brazil năm 2018, với 28%, thìsang năm 2019, địa chỉ IP tin tặc sử dụng xuất phát từ Trung Quốc, với 30%.

Ứng dụng Honeypot trong bảo mật thiết bị IoT  - Ảnh 5.

Hình 5. Khảo sát nguồn gốc các IP sử dụng tấn công dò quét mật khẩu

Ngoài Brazil và Trung Quốc, địa chỉ IP tin tặc sử dụng còn xuất phát từ các quốc gia khác là Ai Cập và Nga với tỉ lệ cũng khá cao.

Ứng dụng Honeypot trong bảo mật thiết bị IoT  - Ảnh 6.

Hình 6. Thống kê vịtrí địa lý các địa chỉ IP tin tặc sử dụng để tấn công vào các hệ thống honeypot (Nguồn: Securelist)

Theo thống kê trong các năm 2018 và 2019, Mirai là mã độc được sử dụng phổ biến cho tấn công IoT, với phương thức tạo backdoor để tin tặc xâm nhập vào.

Ứng dụng Honeypot trong bảo mật thiết bị IoT  - Ảnh 7.

Hình 7. Thống kê loại malware được sử dụng cho tấn công thiết bịIoT

Đối với thiết bị IoT, telnet, ssh hay web service là các dịch vụ được sử dụng phổ biến. Đây cũng là các dịch vụ được tin tặc khai thác nhiều nhất để chiếm quyền điều khiển thiết bị. Tuy nhiên có một điểm đáng lưu ý là quá trình scan mật khẩu truy cập vào các thiết bị IoT này mất rất ít thời gian, do một số thiết bị không thay đổi mật khẩu mặc định từ nhà sản xuất, dẫn đến dễdàng bị dò quét thành công.

Ứng dụng Honeypot trong bảo mật thiết bị IoT  - Ảnh 8.

Hình 8. Thống kê user/pass các thiết bịIoT theo số lần dò quét được

Ngoài telnet, ssh hay web là các giao thức được nhắm đến trong mục đích tấn công của tin tặc, vnc, remote desktop hay VoIP cũng là các cổng dịch vụ được quan tâm. Tỉ lệ các cuộc tấn công liên quan đến các cổng dịch vụ này được sắp xếp theo thứ tự như Hình 9.

Ứng dụng Honeypot trong bảo mật thiết bị IoT  - Ảnh 9.

Hình 9. Thống kê tỉ lệ các cuộc tấn công theo giao thức

Kết luận

Qua các phân tích ở trên, có thể thấy được rằng, nguồn gốc tấn công hay phương thức tấn công mà tin tặc sử dụng để chiếm quyền điều khiển các thiết bị IoT là vô cùng phong phúvà đa dạng. Do đó, ngoài các biện pháp đã áp dụng như thường xuyên cập nhật firmware cho thiết bị, thay đổi mật khẩu mặc định trên thiết bị hay thiết lập policy trên tường lửa để chỉ cho phép các truy cập có kiểm duyệt, việc xây dựng hệ thống honeypot để điều tra hành vi của attacker, qua đó đánh giá và đề xuất phương án phòng thủ cho mạng lưới IoT cũng là điều cần thiết.

Tài liệu tham khảo

1. https://securelist.com/iot-a-malware-story/94451/

2.https://www.blackhat.com/docs/us-17/thursday/us-17-Luo-Iotcandyjar-Towards-An-Intelligent-Interaction-Honeypot-For-IoT-Devices-wp.pdf

(Bài đăng trên tạp chí in số 10+11 tháng 9/2020)

Bài liên quan
Nổi bật Tạp chí Thông tin & Truyền thông
  • Việt Nam - Malaysia nâng cấp quan hệ Đối tác chiến lược toàn diện
    Phát biểu tại họp báo, Tổng Bí thư Tô Lâm cho biết, Việt Nam-Malaysia tăng cường hợp tác trên các lĩnh vực mới (như kinh tế xanh, đổi mới sáng tạo, khoa học công nghệ, chuyển đổi số, năng lượng xanh...).
  • Chìa khóa giải quyết thách thức trong bảo vệ trẻ em trên không gian mạng
    Trẻ em - đối tượng dễ bị tổn thương nhất, đang phải đối mặt với nhiều nguy cơ. Đây không chỉ là bài toán của riêng Việt Nam mà còn là thách thức toàn cầu đòi hỏi sự chung tay hợp tác từ nhiều phía.
  • Việt Nam đang đối mặt 3 thách thức an toàn thông tin
    Các cuộc tấn công mạng hiện nay ngày càng tinh vi và phức tạp hơn, đặc biệt khi có sự hỗ trợ của trí tuệ nhân tạo. Tuy nhiên, việc kết hợp công nghệ này với trí tuệ của con người đã giúp phát hiện và phòng, chống tấn công mạng hiệu quả hơn.
  • Chuyển đổi số thành công không thể thiếu “niềm tin số”
    Muốn triển khai hiệu quả chiến lược số hóa quốc gia cần triển khai theo hướng tiếp cận từ trên xuống dưới và phải phù hợp với thực tế, đảm bảo có tầm nhìn rộng trong tương lai.
  • Việt Nam - Hàn Quốc đồng hành trong kỷ nguyên AI
    Thứ trưởng Bộ TT&TT Phan Tâm hy vọng, Việt Nam có thể học tập nhiều hơn từ Hàn Quốc về các bài học kinh nghiệm, cách làm hay để phát huy tối đa vai trò công nghệ số nói chung và trợ lý ảo nói riêng trong hoạt động của cơ quan nhà nước, thúc đẩy phát triển kinh tế, tạo lập xã hội số nhân văn và thu hẹp khoảng cách số.
Đừng bỏ lỡ
  • Bốn giải pháp trọng tâm để giải bài toán an toàn dữ liệu quốc gia
    Theo Thứ trưởng Bộ TT&TT Bùi Hoàng Phương, năm 2024 đánh dấu bước tiến vượt bậc của Việt Nam trong lĩnh vực an toàn thông tin. Tuy nhiên, còn rất nhiều thách thức cần vượt qua để đảm bảo an toàn dữ liệu quốc gia.
  • Việt Nam tăng cường hợp tác phát triển công nghệ số với Burundi và NIPA
    Trong khuôn khổ sự kiện Tuần lễ Số quốc tế 2024, Bộ trưởng Bộ Thông tin và Truyền thông Nguyễn Mạnh Hùng đã tiếp và làm việc với Bộ trưởng Bộ Truyền thông, Công nghệ Thông tin và Đa phương tiện Burundi Léocadie Ndacayisaba và ông Hur Sung Wook, Chủ tịch Cục Xúc tiến Công nghiệp CNTT quốc gia Hàn Quốc (NIPA).
  • Chính thức ra mắt Nền tảng hỗ trợ diễn tập thực chiến an toàn thông tin
    Nền tảng hướng tới nâng cao chất lượng và điều phối hiệu quả các hoạt động diễn tập trên toàn quốc thông qua nền tảng hỗ trợ diễn tập thực chiến an toàn thông tin.
  • Robot Delta hữu dụng trong nhiều ngành
    Nhờ vào thiết kế độc đáo và khả năng hoạt động với tốc độ và độ chính xác cao, robot Delta là một giải pháp tối ưu trong nhiều ngành công nghiệp hiện đại.
  • Cà Mau ứng dụng các phần mềm chuyển đổi số trong ngành nông nghiệp
    Ngành nông nghiệp tỉnh Cà Mau đã không ngừng triển khai các giải pháp chuyển đổi số thông qua việc sử dụng các phần mềm, xây dựng cơ sở dữ liệu chuyên ngành phục vụ quản lý, điều hành. Trong tương lai không xa, các phần mềm này sẽ hoàn thiện và bắt kịp xu hướng công nghệ để hỗ trợ người nông dân nhiều hơn trong việc tăng gia sản xuất.
  • Bảo vệ các hệ thống mạng trọng yếu là cấp thiết
    Song song với tiến trình chuyển đổi số, các chiến dịch tấn công mạng, gián điệp và khủng bố mạng nhằm vào hệ thống công nghệ thông tin (IT) và công nghệ vận hành (OT) trọng yếu ngày càng gia tăng, việc đảm bảo an ninh mạng trở thành ưu tiên hàng đầu của các quốc gia.
  • ‏OPPO Find X8 Series sẽ chính thức lên kệ ngày 7/12‏
    Ngày 21/11, OPPO chính thức ra mắt Find X8 Series‏‏ tại Việt Nam và sẽ lên kệ ngày 7/12 tới. Đây là lần đầu tiên người dùng Việt Nam được trải nghiệm dòng flagship cao cấp nhất của OPPO cùng lúc với toàn cầu. ‏
  • Chuyển đổi số từ thực tiễn Báo Hải Dương
    Báo Hải Dương có nhiều thuận lợi khi thực hiện chuyển đổi số. Đó là Ban Biên tập có quyết tâm cao. Đội ngũ cán bộ, phóng viên, nhân viên của báo nhanh nhạy với cái mới, ham học hỏi...
  • Đưa siêu ứng dụng "Công dân Thủ đô số - iHanoi" vào cuộc sống
    “Công dân Thủ đô số” - iHaNoi là kênh tương tác trực tuyến trên môi trường số giữa người dân, doanh nghiệp với các cấp chính quyền thành phố Hà Nội. Qua ứng dụng này, người dân và doanh nghiệp có thể phản ánh các vấn đề đời sống, từ đó giúp chính quyền tiếp nhận và giải quyết kịp thời.
  • Sự gia tăng của ứng dụng AI tạo sinh: Những rủi ro tiềm ẩn cho xã hội và con người
    AI tạo sinh là một trong những thành tựu công nghệ mới nhất của con người trong thập niên 20 của thế kỷ XXI. Cho đến nay, sự ứng dụng của AI tạo sinh đã tạo ra nhiều cuộc tranh luận quan trọng trong các nghiên cứu xã hội, đặc biệt là trong lĩnh vực triết học. AI tạo sinh đã thách thức nhiều khái niệm và định kiến của chúng ta về bản thân mình, đặc biệt là về cách chúng ta hiểu về tư duy và bản chất của tư duy con người.
Ứng dụng Honeypot trong bảo mật thiết bị IoT
POWERED BY ONECMS - A PRODUCT OF NEKO