Ứng dụng Honeypot trong bảo mật thiết bị IoT

Tuy nhiên, để ngăn chặn vấn đề này, biện pháp xử lý không chỉ đơn giản là cài đặt một phần mềm bảo mật trên thiết bị IoT, bởi nguyên nhân khiến thiết bị lây nhiễm malware là đa dạng và rất khó kiểm soát. Do đó việc theo dõi thường xuyên hoặc dựng các hệ thống giả lập chứa các lỗ hổng bảo mật để thu hút tin tặc, từ đó đưa ra các phương án phòng thủ hợp lý được xem là biện pháp hữu hiệu. Các hệ thống giả lập này được gọi là honeypot.

 

Hệ thống honeypot cho thiết bị IoT

 

Honeypot là một hệ thống tài nguyên thông tin được xây dựng với mục đích giả dạng đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chúý của chúng, ngăn không cho chúng tiếp xúc với hệ thống thật.

 

Honeypot có thể giả dạng bất cứ loại máy chủ tài nguyên nào như là Mail Server, Domain Name Server, Web Server… Honeypot sẽ trực tiếp tương tác với tin tặc và tìm cách khai thác thông tin về tin tặc như hình thức tấn công, công cụ tấn công hay cách thức tiến hành thay vìbị tấn công.

 

Honeypot gồm hai loại chính là tương tác thấp và tương tác cao

 

+ Tương tác thấp (low interaction): Mô phỏng giả các dịch vụ, ứng dụng và hệ điều hành. Mức độ rủi ro thấp, dễtriển khai và bảo dưỡng nhưng bị giới hạn về dịch vụ.

 

+ Tương tác cao (high interaction): Là các dịch vụ, ứng dụng và hệ điều hành thực. Mức độ thông tin thu thập được cao. Nhưng rủi ro cao và tốn thời gian để vận hành và bảo dưỡng.

Tuy nhiên, trong thực tế, việc triển khai các honeypot cho thiết bị IoT không thể xây dựng theo hướng tiếp cận như quá trình xây dựng honeypot cho các hệ thống IT thông thường.

 

Do đó cần phải xây dựng honeypot theo kiểu mới, gọi là tương tác thông minh (Intelligent Interaction). Kiến trúc cơ bản của hệ thống này như Hình 4.

Hệ thống gồm có 4 thành phần chính chạy riêng biệt nhưng chia sẻ dữ liệu cho nhau trong quá trình học. IoT-Oracle là cơ sở dữ liệu trung tâm lưu trữ mọi thông tin thu được liên quan đến các thiết bị IoT. Mô-đun honeypot chứa các phiên bản honeypot đã triển khai trên Amazon AWS và Digital Ocean. Mục đích của chúng là nhận lưu lượng truy cập và tương tác với những kẻ tấn công để dụ chúng thực hiện việc khai thác thực sự. Tiếp theo sẽ đồng bộ hóa định kỳ với IoT-Oracle để đẩy yêu cầu mới nhận được sang các bảng và truy xuất bảng dữ liệu IoT để có kiến thức cập nhật về hành vi tấn công trên các thiết bị IoT.

 

Mô-đun IoTScanner tận dụng các yêu cầu của cuộc tấn công đã nắm bắt và rà quét để tìm bất kỳ thiết bị IoT nào có thể phản hồi các yêu cầu này. Các câu trả lời được tổng hợp sẽ được lưu trữ trong bảng phản hồi để phân tích thêm. Mô-đun IoTLearner sử dụng thuật toán học máy để tạo ra mô hình dựa trên phản hồi từ những kẻ tấn công với phản hồi nhất định. Sau nhiều lần lặp lại, honeypot có thể tối ưu hóa một mô hình để trả lời cho tin tặc, khiến tin tặc khó nhận biết được đây là hệ thống bẫy honeypot.

 

Vào thời điểm đầu tiên, hệ thống tương tác thông minh hoạt động giống hệt như honeypot tương tác thấp vìhầu như chưa có nhận định gìvề các thiết bị IoT và hành vi của chúng. Tuy nhiên, sau một khoảng thời gian rất ngắn, honeypot có thể nhận biết và thu thập thông tin của rất nhiều thiết bị IoT khác nhau.

 

Thu thập và phân tích dữ liệu qua kết quả từ honeypot

 

Qua triển khai hàng loạt các honeypot tại nhiều quốc gia trên thế giới, các chuyên gia bảo mật đã thu thập được một số thông tin liên quan đến hành vi của hacker (Hình 5).

 

Trong khi các tấn công liên quan đến dò quét brute force mật khẩu truy cập từ xa qua giao thức telnet xuất phát với tỉ lệ cao từ các IP của Brazil năm 2018, với 28%, thìsang năm 2019, địa chỉ IP tin tặc sử dụng xuất phát từ Trung Quốc, với 30%.

Kết luận

 

Qua các phân tích ở trên, có thể thấy được rằng, nguồn gốc tấn công hay phương thức tấn công mà tin tặc sử dụng để chiếm quyền điều khiển các thiết bị IoT là vô cùng phong phúvà đa dạng. Do đó, ngoài các biện pháp đã áp dụng như thường xuyên cập nhật firmware cho thiết bị, thay đổi mật khẩu mặc định trên thiết bị hay thiết lập policy trên tường lửa để chỉ cho phép các truy cập có kiểm duyệt, việc xây dựng hệ thống honeypot để điều tra hành vi của attacker, qua đó đánh giá và đề xuất phương án phòng thủ cho mạng lưới IoT cũng là điều cần thiết.

 

Tài liệu tham khảo

 

1. https://securelist.com/iot-a-malware-story/94451/

 

2.https://www.blackhat.com/docs/us-17/thursday/us-17-Luo-Iotcandyjar-Towards-An-Intelligent-Interaction-Honeypot-For-IoT-Devices-wp.pdf