Ứng dụng Honeypot trong bảo mật thiết bị IoT

Võ Văn Đông| 15/10/2020 20:47
Theo dõi ICTVietnam trên

Trên thế giới hiện nay đang tồn tại khoảng hơn 6 tỉ thiết bị IoT, và nếu giả sử toàn bộ các thiết bị này bị chiếm quyền điều khiển bởi tin tặc, mạng lưới botnet cho các cuộc tấn công DDoS thật sự khó kiểm soát. Tháng 5 năm 2017, qua khảo sát, hãng bảo mật Kaspersky đã xác định được hơn 7000 mẫu malware tồn tại trên thiết bị IoT.

Vấn đề bảo mật đối với thiết bị IoT

Kể từ năm 2018, số lượng các vụ tấn công mạng nhằm vào thiết bị IoT không ngừng gia tăng. Tin tặc sử dụng malware để lây nhiễm, biến các thiết bị IoT trở thành thành viên của mạng lưới botnet cho các cuộc tấn công vào hệ thống thông tin quan trọng với quy mô lớn. Thực tế đã có nhiều cuộc tấn công do thiết bị lây nhiễm malware như Hydra, Psybot, Mirai,…

Ứng dụng Honeypot trong bảo mật thiết bị IoT  - Ảnh 1.

Hình 1. Các cuộc tấn công IoT phổ biến (Nguồn:Kaspersky)

Trên thế giới hiện nay đang tồn tại khoảng hơn 6 tỉ thiết bị IoT, và nếu giả sử toàn bộ các thiết bị này bị chiếm quyền điều khiển bởi tin tặc, mạng lưới botnet cho các cuộc tấn công DDoS thật sự khó kiểm soát. Tháng 5 năm 2017, qua khảo sát, hãng bảo mật Kaspersky đã xác định được hơn 7000 mẫu malware tồn tại trên thiết bị IoT.

Ứng dụng Honeypot trong bảo mật thiết bị IoT  - Ảnh 2.

Hình 2. Thống kê malware tồn tại trên thiết bịIoT qua các năm (Nguồn: Kaspersky lab)

Tuy nhiên, để ngăn chặn vấn đề này, biện pháp xử lý không chỉ đơn giản là cài đặt một phần mềm bảo mật trên thiết bị IoT, bởi nguyên nhân khiến thiết bị lây nhiễm malware là đa dạng và rất khó kiểm soát. Do đó việc theo dõi thường xuyên hoặc dựng các hệ thống giả lập chứa các lỗ hổng bảo mật để thu hút tin tặc, từ đó đưa ra các phương án phòng thủ hợp lý được xem là biện pháp hữu hiệu. Các hệ thống giả lập này được gọi là honeypot.

Hệ thống honeypot cho thiết bị IoT

Honeypot là một hệ thống tài nguyên thông tin được xây dựng với mục đích giả dạng đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chúý của chúng, ngăn không cho chúng tiếp xúc với hệ thống thật.

Honeypot có thể giả dạng bất cứ loại máy chủ tài nguyên nào như là Mail Server, Domain Name Server, Web Server… Honeypot sẽ trực tiếp tương tác với tin tặc và tìm cách khai thác thông tin về tin tặc như hình thức tấn công, công cụ tấn công hay cách thức tiến hành thay vìbị tấn công.

Honeypot gồm hai loại chính là tương tác thấp và tương tác cao

+ Tương tác thấp (low interaction): Mô phỏng giả các dịch vụ, ứng dụng và hệ điều hành. Mức độ rủi ro thấp, dễtriển khai và bảo dưỡng nhưng bị giới hạn về dịch vụ.

+ Tương tác cao (high interaction): Là các dịch vụ, ứng dụng và hệ điều hành thực. Mức độ thông tin thu thập được cao. Nhưng rủi ro cao và tốn thời gian để vận hành và bảo dưỡng.

Ứng dụng Honeypot trong bảo mật thiết bị IoT  - Ảnh 3.

Hình 3. Honeypot cho thiết bịIoT

Tuy nhiên, trong thực tế, việc triển khai các honeypot cho thiết bị IoT không thể xây dựng theo hướng tiếp cận như quá trình xây dựng honeypot cho các hệ thống IT thông thường.

Do đó cần phải xây dựng honeypot theo kiểu mới, gọi là tương tác thông minh (Intelligent Interaction). Kiến trúc cơ bản của hệ thống này như Hình 4.

Ứng dụng Honeypot trong bảo mật thiết bị IoT  - Ảnh 4.

Hình 4. Kiến trúc hệ thống Intelligent Interaction honeypot

Hệ thống gồm có 4 thành phần chính chạy riêng biệt nhưng chia sẻ dữ liệu cho nhau trong quá trình học. IoT-Oracle là cơ sở dữ liệu trung tâm lưu trữ mọi thông tin thu được liên quan đến các thiết bị IoT. Mô-đun honeypot chứa các phiên bản honeypot đã triển khai trên Amazon AWS và Digital Ocean. Mục đích của chúng là nhận lưu lượng truy cập và tương tác với những kẻ tấn công để dụ chúng thực hiện việc khai thác thực sự. Tiếp theo sẽ đồng bộ hóa định kỳ với IoT-Oracle để đẩy yêu cầu mới nhận được sang các bảng và truy xuất bảng dữ liệu IoT để có kiến thức cập nhật về hành vi tấn công trên các thiết bị IoT.

Mô-đun IoTScanner tận dụng các yêu cầu của cuộc tấn công đã nắm bắt và rà quét để tìm bất kỳ thiết bị IoT nào có thể phản hồi các yêu cầu này. Các câu trả lời được tổng hợp sẽ được lưu trữ trong bảng phản hồi để phân tích thêm. Mô-đun IoTLearner sử dụng thuật toán học máy để tạo ra mô hình dựa trên phản hồi từ những kẻ tấn công với phản hồi nhất định. Sau nhiều lần lặp lại, honeypot có thể tối ưu hóa một mô hình để trả lời cho tin tặc, khiến tin tặc khó nhận biết được đây là hệ thống bẫy honeypot.

Vào thời điểm đầu tiên, hệ thống tương tác thông minh hoạt động giống hệt như honeypot tương tác thấp vìhầu như chưa có nhận định gìvề các thiết bị IoT và hành vi của chúng. Tuy nhiên, sau một khoảng thời gian rất ngắn, honeypot có thể nhận biết và thu thập thông tin của rất nhiều thiết bị IoT khác nhau.

Thu thập và phân tích dữ liệu qua kết quả từ honeypot

Qua triển khai hàng loạt các honeypot tại nhiều quốc gia trên thế giới, các chuyên gia bảo mật đã thu thập được một số thông tin liên quan đến hành vi của hacker (Hình 5).

Trong khi các tấn công liên quan đến dò quét brute force mật khẩu truy cập từ xa qua giao thức telnet xuất phát với tỉ lệ cao từ các IP của Brazil năm 2018, với 28%, thìsang năm 2019, địa chỉ IP tin tặc sử dụng xuất phát từ Trung Quốc, với 30%.

Ứng dụng Honeypot trong bảo mật thiết bị IoT  - Ảnh 5.

Hình 5. Khảo sát nguồn gốc các IP sử dụng tấn công dò quét mật khẩu

Ngoài Brazil và Trung Quốc, địa chỉ IP tin tặc sử dụng còn xuất phát từ các quốc gia khác là Ai Cập và Nga với tỉ lệ cũng khá cao.

Ứng dụng Honeypot trong bảo mật thiết bị IoT  - Ảnh 6.

Hình 6. Thống kê vịtrí địa lý các địa chỉ IP tin tặc sử dụng để tấn công vào các hệ thống honeypot (Nguồn: Securelist)

Theo thống kê trong các năm 2018 và 2019, Mirai là mã độc được sử dụng phổ biến cho tấn công IoT, với phương thức tạo backdoor để tin tặc xâm nhập vào.

Ứng dụng Honeypot trong bảo mật thiết bị IoT  - Ảnh 7.

Hình 7. Thống kê loại malware được sử dụng cho tấn công thiết bịIoT

Đối với thiết bị IoT, telnet, ssh hay web service là các dịch vụ được sử dụng phổ biến. Đây cũng là các dịch vụ được tin tặc khai thác nhiều nhất để chiếm quyền điều khiển thiết bị. Tuy nhiên có một điểm đáng lưu ý là quá trình scan mật khẩu truy cập vào các thiết bị IoT này mất rất ít thời gian, do một số thiết bị không thay đổi mật khẩu mặc định từ nhà sản xuất, dẫn đến dễdàng bị dò quét thành công.

Ứng dụng Honeypot trong bảo mật thiết bị IoT  - Ảnh 8.

Hình 8. Thống kê user/pass các thiết bịIoT theo số lần dò quét được

Ngoài telnet, ssh hay web là các giao thức được nhắm đến trong mục đích tấn công của tin tặc, vnc, remote desktop hay VoIP cũng là các cổng dịch vụ được quan tâm. Tỉ lệ các cuộc tấn công liên quan đến các cổng dịch vụ này được sắp xếp theo thứ tự như Hình 9.

Ứng dụng Honeypot trong bảo mật thiết bị IoT  - Ảnh 9.

Hình 9. Thống kê tỉ lệ các cuộc tấn công theo giao thức

Kết luận

Qua các phân tích ở trên, có thể thấy được rằng, nguồn gốc tấn công hay phương thức tấn công mà tin tặc sử dụng để chiếm quyền điều khiển các thiết bị IoT là vô cùng phong phúvà đa dạng. Do đó, ngoài các biện pháp đã áp dụng như thường xuyên cập nhật firmware cho thiết bị, thay đổi mật khẩu mặc định trên thiết bị hay thiết lập policy trên tường lửa để chỉ cho phép các truy cập có kiểm duyệt, việc xây dựng hệ thống honeypot để điều tra hành vi của attacker, qua đó đánh giá và đề xuất phương án phòng thủ cho mạng lưới IoT cũng là điều cần thiết.

Tài liệu tham khảo

1. https://securelist.com/iot-a-malware-story/94451/

2.https://www.blackhat.com/docs/us-17/thursday/us-17-Luo-Iotcandyjar-Towards-An-Intelligent-Interaction-Honeypot-For-IoT-Devices-wp.pdf

(Bài đăng trên tạp chí in số 10+11 tháng 9/2020)

Bài liên quan
Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Xây dựng hạ tầng cho mạng 5G tương lai của Việt Nam
    Đông Nam Á là một trong những khu vực có tốc độ phát triển nhanh nhất trên thế giới. Dự kiến tới năm 2030, ASEAN (gồm 10 quốc gia Đông Nam Á) sẽ trở thành nền kinh tế lớn thứ tư toàn cầu. Phần lớn động lực thúc đẩy sự phát triển này đến từ sự vận động và tăng trưởng không ngừng của nền kinh tế số trong khu vực, với giá trị ước tính lên đến gần 1 nghìn tỉ đô-la vào năm 2030.
  • Hai nền tảng số MISA được công nhận là sản phẩm Thương hiệu quốc gia Việt Nam 2024
    Vượt qua hơn 1.000 hồ sơ và nhiều vòng thẩm định khắt khe, MISA có hai nền tảng số đạt danh hiệu Thương hiệu quốc gia Việt Nam 2024.
  • Sản phẩm, dịch vụ của VinaPhone được công nhận là Thương hiệu Quốc gia
    Tại lễ công bố sản phẩm đạt Thương hiệu Quốc gia Việt Nam năm 2024 do Bộ Công Thương tổ chức, sản phẩm, dịch vụ VinaPhone 5G, Truyền hình MyTV, chứng thực ký số công cộng (VNPT CA)... của VNPT VinaPhone đã được công nhận là Thương hiệu Quốc gia 2024.
  • GHTK được vinh danh Thương hiệu Quốc gia Việt Nam lần thứ hai
    Công ty CP Giao hàng Tiết Kiệm tự hào là một trong 190 doanh nghiệp tiêu biểu, đạt danh hiệu Thương hiệu Quốc gia Việt Nam năm 2024 trong số hơn 1.000 doanh nghiệp đăng ký.
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
  • Mở rộng trông xe không dùng tiền mặt mang lại lợi ích "kép"
    Việc áp dụng hình thức thanh toán qua ứng dụng thu phí không dừng VETC và mã QR vào hoạt động thanh toán phí gửi xe không dùng tiền mặt không những góp phần từng bước hình thành hệ thống giao thông thông minh mà còn tăng cường công tác quản lý nhà nước, minh bạch trong công tác thu phí dịch vụ trông giữ xe.
  • MobiFone được vinh danh Thương hiệu quốc gia Việt Nam 2024
    Tại Lễ công bố sản phẩm đạt Thương hiệu quốc gia Việt Nam năm 2024 tối 4/11, MobiFone xuất sắc được vinh danh tại sự kiện với 5 thương hiệu sản phẩm đột phá bao gồm: Dịch vụ viễn thông MobiFone, mobiEdu, ClipTV, mobiAgri và nền tảng số MobiFone.
  • 10 xu hướng định hình tương lai của quản lý giao dịch số
    Quản lý giao dịch số đang phát triển mạnh mẽ, được thúc đẩy bởi những tiến bộ công nghệ và nhu cầu ngày càng tăng về xử lý tài liệu an toàn, hiệu quả. Đây là công cụ quan trọng giúp doanh nghiệp giảm bớt thủ tục hành chính và tối ưu hóa quy trình xử lý tài liệu số.
  • Zalo giữ vững ngôi đầu nền tảng nhắn tin được yêu thích nhất
    Ngày 5/11, theo báo cáo “The Connected Consumer Q.III/2024” mới nhất do Decision Lab công bố, Zalo tiếp tục dẫn đầu các nền tảng nhắn tin tại Việt Nam về tỷ lệ sử dụng (renetration rate) và mức độ yêu thích (preference rate).
  • Triển vọng thị trường chữ ký số toàn cầu
    Thị trường chữ ký số toàn cầu đang có ​​sự tăng trưởng chưa từng có khi các doanh nghiệp và cá nhân ngày càng áp dụng các giải pháp số để xác thực tài liệu và giao dịch an toàn.
Ứng dụng Honeypot trong bảo mật thiết bị IoT
POWERED BY ONECMS - A PRODUCT OF NEKO