Honeypots là gì

Nhiều doanh nghiệp hiện nay phụ thuộc vào lượng lớn dữ liệu thu thập được trên internet thông qua web scraping để thực hiện các quyết định kinh doanh. Tuy nhiên, web scraping thường phải đối mặt với một số thách thức và một trong những thách thức đó là bẫy honeypot. Mặt khác, Honeypot cũng là một tài sản quan trọng đối với An ninh mạng của tổ chức bạn. Vì vậy, bài viết này

Nhiều doanh nghiệp hiện nay phụ thuộc vào lượng lớn dữ liệu thu thập được trên internet thông qua web scraping để thực hiện các quyết định kinh doanh. Tuy nhiên, web scraping thường phải đối mặt với một số thách thức và một trong những thách thức đó là bẫy honeypot.

Mặt khác, Honeypot cũng là tài sản quan trọng đối với An ninh mạng của tổ chức bạn.

Vì vậy, bài viết này sẽ cung cấp tổng quan về Honeypot trước khi chuyển sang cách bạn có thể tránh bẫy honeypot trong quá trình thu thập dữ liệu web.

Honeypot là gì?

Honeypot trong bảo mật mạng là một hệ thống mồi nhử được thiết kế tương tự như một hệ thống bị xâm phạm hợp pháp. Mục tiêu chính của nó là dụ tội phạm mạng mua thời gian và công sức để khai thác các lỗ hổng cố ý đối với hệ thống máy tính. Sau đó, nó cảnh báo nhóm an ninh mạng nội bộ của bạn về các nỗ lực xâm phạm của kẻ tấn công.

Sự cảnh giác này sẽ cho phép nhóm bảo mật của bạn điều tra các cuộc tấn công trực tiếp thông qua honeypot để giảm thiểu lỗ hổng và thu hút kẻ tấn công khỏi việc gây hại cho hệ thống hợp pháp.

Honeypot hoạt động như thế nào?

Vì honeypot giống hệt như một hệ thống máy tính thực tế với phần mềm ứng dụng và dữ liệu để đánh lừa tội phạm mạng, nên nó được phát triển một cách có chủ đích với các lỗ hổng bảo mật. Một ví dụ nổi bật là một số cổng dễ bị tấn công được để mở để dụ kẻ tấn công vào honeypot thay vì hệ thống thực tế.

Ngoài ra, một kịch bản honeypot khác sẽ là bắt chước một trang Cổng thanh toán trên internet, đây sẽ là mục tiêu lý tưởng cho tội phạm mạng để theo dõi số thẻ tín dụng. Khi tội phạm mạng truy cập vào một trang như vậy, nhóm bảo mật của bạn có thể đánh giá hành vi của họ và theo dõi chuyển động của họ để làm cho Cổng thanh toán hợp pháp an toàn hơn.

Từ hoạt động của honeypot, bạn có thể coi đó là một công cụ có giá trị giúp xác định các lỗ hổng bảo mật cho tổ chức của bạn và phát hiện các mối đe dọa mới. Hơn nữa, bạn sẽ phân tích xu hướng của kẻ tấn công và đưa ra các cơ chế để bảo vệ khỏi các mối đe dọa như vậy.

Các loại Honeypot khác nhau

Honeypot có thể được phân loại dựa trên mức độ triển khai và mức độ tham gia của chúng. Dựa trên triển khai, bạn có thể phân loại chúng thành:

Honeypot sản xuất – các honeypot này được triển khai cùng với các máy chủ sản xuất thực tế trên mạng nội bộ của tổ chức bạn. Mục tiêu của nó là phát hiện các cuộc tấn công đang hoạt động trên mạng nội bộ và chuyển hướng chúng khỏi máy chủ hợp pháp.

Nghiên cứu honeypots – ngược lại, nghiên cứu honeypots được sử dụng để thu thập và phân tích cách kẻ tấn công sẽ thực hiện một cuộc tấn công tiềm ẩn vào hệ thống bằng cách phân tích hành vi của chúng. Thông qua phân tích như vậy, nhóm bảo mật sẽ có thể tăng cường khả năng phòng thủ của hệ thống.

Sau đó, dựa trên mức độ tham gia, honeypot có thể được phân loại như sau:

Honeypots thuần túy - đây là hệ thống sản xuất quy mô đầy đủ có vẻ như chứa dữ liệu bí mật hoặc nhạy cảm. Các nhóm bảo mật theo dõi ý định của kẻ tấn công bằng bug tap được cài đặt tại nơi honeypots kết nối với mạng.

Honeypot tương tác cao - mục đích chính là khiến kẻ tấn công đầu tư càng nhiều thời gian càng tốt để xâm nhập vào lỗ hổng bảo mật để tấn công hệ thống. Điều này sẽ cho phép nhóm an ninh mạng của bạn quan sát mục tiêu của kẻ tấn công trong hệ thống và phát hiện ra lỗ hổng của mục tiêu đó. Một ví dụ điển hình của honeypot tương tác cao là Cơ sở dữ liệu.

Honeypot tương tác trung bình - mô phỏng lớp ứng dụng mà không cần Hệ điều hành để kẻ tấn công bị nhầm lẫn hoặc trì hoãn nhiệm vụ của chúng. Điều này sẽ cho phép các chuyên gia bảo mật của bạn có thời gian để phản ứng với cuộc tấn công trong trường hợp này.

Honeypot tương tác thấp - Các honeypot này dễ thiết lập và sử dụng TCP (Giao thức điều khiển truyền), Giao thức Internet (IP) và các dịch vụ mạng. Chúng ít tốn tài nguyên hơn. Trọng tâm chính của nó là mô phỏng các hệ thống mà kẻ tấn công thường nhắm tới nhất. Vì vậy, các chuyên gia bảo mật Thu thập thông tin về loại tấn công và điểm xuất phát của nó. Các nhóm bảo mật cũng sử dụng chúng cho các cơ chế phát hiện sớm.

Honeynet là gì?

Cho đến nay, bạn đã khám phá ra honeypot như một Máy ảo duy nhất trong mạng. Ngược lại, honeynet là một loạt honeypot được kết nối mạng với nhau, như thể hiện trong sơ đồ bên dưới. Một honeypot duy nhất không đủ để giám sát lưu lượng đáng ngờ đi vào mạng rộng hơn.

Các mạng honeynet được kết nối với phần còn lại của mạng thông qua một cổng “honeywall” giám sát lưu lượng truy cập vào mạng và chuyển hướng chúng đến các nút honeypot.

Với sự hỗ trợ của honeynet, nhóm bảo mật của bạn có thể điều tra các mối đe dọa an ninh mạng ở quy mô lớn, chẳng hạn như các cuộc tấn công từ chối dịch vụ phân tán (DDOS) và ransomware. Sau đó, nhóm bảo mật có thể thực hiện các biện pháp phòng ngừa phù hợp để xua đuổi những kẻ tấn công khỏi hệ thống thực tế.

Honeynet bảo vệ toàn bộ mạng của bạn khỏi lưu lượng truy cập đáng ngờ đến và đi và là một phần của mạng xâm nhập mở rộng.

Hạn chế của Honeypots

Bây giờ bạn có thể cho rằng với sự hiện diện của honeypot, mạng của bạn hoàn toàn an toàn. Tuy nhiên, thực tế không phải vậy, vì honeypot có một số nhược điểm và không thay thế bất kỳ cơ chế bảo mật nào. 

Honeypot không thể phát hiện ra tất cả các mối đe dọa bảo mật ngoài kia - chỉ vì một mối đe dọa cụ thể không xâm nhập vào các lỗ hổng trong honeypot không có nghĩa là nó sẽ không xâm nhập vào hệ thống hợp pháp. Mặt khác, một hacker chuyên nghiệp sẽ xác định một honeypot là bất hợp pháp và tấn công các hệ thống mạng khác, để lại honeypot không bị ảnh hưởng.

Kẻ tấn công cũng có thể thực hiện các cuộc tấn công giả mạo để đánh lạc hướng sự chú ý của bạn khỏi lỗ hổng thực tế sang môi trường sản xuất. 

Tệ hơn nữa, một hacker sáng tạo hơn sẽ sử dụng honeypot như một cách để xâm nhập vào môi trường sản xuất của bạn. Đây là lý do rõ ràng tại sao honeypot không thể thay thế các cơ chế bảo mật khác như tường lửa. Vì vậy, vì honeypot có thể hoạt động như một bệ phóng để tấn công phần còn lại của hệ thống, bạn phải thực hiện các biện pháp phòng ngừa đầy đủ cho từng honeypot trong mạng.

Bẫy Honeypot trong Web Scraping

Có những cái bẫy honeypot để tránh việc thu thập dữ liệu web bất hợp pháp, ngụ ý chỉ một số ít trình thu thập dữ liệu thu thập thông tin có bản quyền. Thật không may, do một số ít trình thu thập dữ liệu này, đôi khi những trình thu thập dữ liệu hợp lệ cũng phải trả giá. Điều này là do honeypot không thể phân biệt được trình thu thập dữ liệu hợp lệ với trình thu thập dữ liệu không hợp lệ.

Các trang web chứa các liên kết mà chỉ trình thu thập dữ liệu mới có thể truy cập. Vì vậy, khi trình thu thập dữ liệu thu thập dữ liệu từ các liên kết đó, trang web sẽ phát hiện hoạt động thu thập dữ liệu. Do đó, một trang web có bẫy honeypot có thể dễ dàng theo dõi và phát hiện hoạt động thu thập dữ liệu web của bạn vì việc thu thập dữ liệu từ các trang web này là bất hợp pháp. Do đó, IP của bạn có khả năng bị chặn và do đó bạn sẽ không nhận được dữ liệu mong muốn.

Để nhử những kẻ thu thập dữ liệu, một số trang web có liên kết honeypot sử dụng thuộc tính hiển thị CSS của chúng thành none. Do đó, bạn phải đảm bảo rằng trình thu thập dữ liệu của bạn chỉ theo dõi các liên kết có thể nhìn thấy. Ngoài ra, để tránh bị chặn, tốt nhất là tuân theo các quy tắc và hướng dẫn của trang web bạn đang thu thập dữ liệu.

Phần kết luận

Mặc dù honeypot có một số rủi ro nhất định, nhưng lợi ích chắc chắn lớn hơn rủi ro, như đã nêu trong phần giới hạn. Do đó, honeypot là một cơ chế thiết yếu cần có khi cân nhắc đầu tư bảo mật cho tổ chức của bạn. Mặt khác, hãy đảm bảo rằng các chuyên gia có chuyên môn đang thực hiện đánh giá bảo mật và honeypot của bạn.