Ứng dụng Honeypot trong bảo mật thiết bị IoT

Vấn đề bảo mật đối với thiết bị IoT

Kể từ năm 2018, số lượng các vụ tấn công mạng nhằm vào thiết bị IoT không ngừng gia tăng. Tin tặc sử dụng malware để lây nhiễm, biến các thiết bị IoT trở thành thành viên của mạng lưới botnet cho các cuộc tấn công vào hệ thống thông tin quan trọng với quy mô lớn. Thực tế đã có nhiều cuộc tấn công do thiết bị lây nhiễm malware như Hydra, Psybot, Mirai,…

Trên thế giới hiện nay đang tồn tại khoảng hơn 6 tỉ thiết bị IoT, và nếu giả sử toàn bộ các thiết bị này bị chiếm quyền điều khiển bởi tin tặc, mạng lưới botnet cho các cuộc tấn công DDoS thật sự khó kiểm soát. Tháng 5 năm 2017, qua khảo sát, hãng bảo mật Kaspersky đã xác định được hơn 7000 mẫu malware tồn tại trên thiết bị IoT.

Tuy nhiên, để ngăn chặn vấn đề này, biện pháp xử lý không chỉ đơn giản là cài đặt một phần mềm bảo mật trên thiết bị IoT, bởi nguyên nhân khiến thiết bị lây nhiễm malware là đa dạng và rất khó kiểm soát. Do đó việc theo dõi thường xuyên hoặc dựng các hệ thống giả lập chứa các lỗ hổng bảo mật để thu hút tin tặc, từ đó đưa ra các phương án phòng thủ hợp lý được xem là biện pháp hữu hiệu. Các hệ thống giả lập này được gọi là honeypot.

Hệ thống honeypot cho thiết bị IoT

Honeypot là một hệ thống tài nguyên thông tin được xây dựng với mục đích giả dạng đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chúý của chúng, ngăn không cho chúng tiếp xúc với hệ thống thật.

Honeypot có thể giả dạng bất cứ loại máy chủ tài nguyên nào như là Mail Server, Domain Name Server, Web Server… Honeypot sẽ trực tiếp tương tác với tin tặc và tìm cách khai thác thông tin về tin tặc như hình thức tấn công, công cụ tấn công hay cách thức tiến hành thay vìbị tấn công.

Honeypot gồm hai loại chính là tương tác thấp và tương tác cao

+ Tương tác thấp (low interaction): Mô phỏng giả các dịch vụ, ứng dụng và hệ điều hành. Mức độ rủi ro thấp, dễtriển khai và bảo dưỡng nhưng bị giới hạn về dịch vụ.

+ Tương tác cao (high interaction): Là các dịch vụ, ứng dụng và hệ điều hành thực. Mức độ thông tin thu thập được cao. Nhưng rủi ro cao và tốn thời gian để vận hành và bảo dưỡng.

Tuy nhiên, trong thực tế, việc triển khai các honeypot cho thiết bị IoT không thể xây dựng theo hướng tiếp cận như quá trình xây dựng honeypot cho các hệ thống IT thông thường.

Do đó cần phải xây dựng honeypot theo kiểu mới, gọi là tương tác thông minh (Intelligent Interaction). Kiến trúc cơ bản của hệ thống này như Hình 4.

Hệ thống gồm có 4 thành phần chính chạy riêng biệt nhưng chia sẻ dữ liệu cho nhau trong quá trình học. IoT-Oracle là cơ sở dữ liệu trung tâm lưu trữ mọi thông tin thu được liên quan đến các thiết bị IoT. Mô-đun honeypot chứa các phiên bản honeypot đã triển khai trên Amazon AWS và Digital Ocean. Mục đích của chúng là nhận lưu lượng truy cập và tương tác với những kẻ tấn công để dụ chúng thực hiện việc khai thác thực sự. Tiếp theo sẽ đồng bộ hóa định kỳ với IoT-Oracle để đẩy yêu cầu mới nhận được sang các bảng và truy xuất bảng dữ liệu IoT để có kiến thức cập nhật về hành vi tấn công trên các thiết bị IoT.

Mô-đun IoTScanner tận dụng các yêu cầu của cuộc tấn công đã nắm bắt và rà quét để tìm bất kỳ thiết bị IoT nào có thể phản hồi các yêu cầu này. Các câu trả lời được tổng hợp sẽ được lưu trữ trong bảng phản hồi để phân tích thêm. Mô-đun IoTLearner sử dụng thuật toán học máy để tạo ra mô hình dựa trên phản hồi từ những kẻ tấn công với phản hồi nhất định. Sau nhiều lần lặp lại, honeypot có thể tối ưu hóa một mô hình để trả lời cho tin tặc, khiến tin tặc khó nhận biết được đây là hệ thống bẫy honeypot.

Vào thời điểm đầu tiên, hệ thống tương tác thông minh hoạt động giống hệt như honeypot tương tác thấp vìhầu như chưa có nhận định gìvề các thiết bị IoT và hành vi của chúng. Tuy nhiên, sau một khoảng thời gian rất ngắn, honeypot có thể nhận biết và thu thập thông tin của rất nhiều thiết bị IoT khác nhau.

Thu thập và phân tích dữ liệu qua kết quả từ honeypot

Qua triển khai hàng loạt các honeypot tại nhiều quốc gia trên thế giới, các chuyên gia bảo mật đã thu thập được một số thông tin liên quan đến hành vi của hacker (Hình 5).

Trong khi các tấn công liên quan đến dò quét brute force mật khẩu truy cập từ xa qua giao thức telnet xuất phát với tỉ lệ cao từ các IP của Brazil năm 2018, với 28%, thìsang năm 2019, địa chỉ IP tin tặc sử dụng xuất phát từ Trung Quốc, với 30%.

Ngoài Brazil và Trung Quốc, địa chỉ IP tin tặc sử dụng còn xuất phát từ các quốc gia khác là Ai Cập và Nga với tỉ lệ cũng khá cao.

Theo thống kê trong các năm 2018 và 2019, Mirai là mã độc được sử dụng phổ biến cho tấn công IoT, với phương thức tạo backdoor để tin tặc xâm nhập vào.

Đối với thiết bị IoT, telnet, ssh hay web service là các dịch vụ được sử dụng phổ biến. Đây cũng là các dịch vụ được tin tặc khai thác nhiều nhất để chiếm quyền điều khiển thiết bị. Tuy nhiên có một điểm đáng lưu ý là quá trình scan mật khẩu truy cập vào các thiết bị IoT này mất rất ít thời gian, do một số thiết bị không thay đổi mật khẩu mặc định từ nhà sản xuất, dẫn đến dễdàng bị dò quét thành công.

Ngoài telnet, ssh hay web là các giao thức được nhắm đến trong mục đích tấn công của tin tặc, vnc, remote desktop hay VoIP cũng là các cổng dịch vụ được quan tâm. Tỉ lệ các cuộc tấn công liên quan đến các cổng dịch vụ này được sắp xếp theo thứ tự như Hình 9.

Kết luận

Qua các phân tích ở trên, có thể thấy được rằng, nguồn gốc tấn công hay phương thức tấn công mà tin tặc sử dụng để chiếm quyền điều khiển các thiết bị IoT là vô cùng phong phúvà đa dạng. Do đó, ngoài các biện pháp đã áp dụng như thường xuyên cập nhật firmware cho thiết bị, thay đổi mật khẩu mặc định trên thiết bị hay thiết lập policy trên tường lửa để chỉ cho phép các truy cập có kiểm duyệt, việc xây dựng hệ thống honeypot để điều tra hành vi của attacker, qua đó đánh giá và đề xuất phương án phòng thủ cho mạng lưới IoT cũng là điều cần thiết.

Tài liệu tham khảo

1. https://securelist.com/iot-a-malware-story/94451/

2.https://www.blackhat.com/docs/us-17/thursday/us-17-Luo-Iotcandyjar-Towards-An-Intelligent-Interaction-Honeypot-For-IoT-Devices-wp.pdf

(Bài đăng trên tạp chí in số 10+11 tháng 9/2020)