Nhiều doanh nghiệp hiện đang phụ thuộc vào số lượng lớn dữ liệu thu được trên internet thông qua việc quét web để thực hiện các quyết định kinh doanh. Tuy nhiên, việc quét web thường phải đối mặt với một số thách thức và, một thách thức như vậy là bẫy honeypot.
Mặt khác, Honeypots cũng là một tài sản quan trọng đối với An ninh mạng của tổ chức của bạn.
Vì vậy, bài viết này sẽ cung cấp một cái nhìn tổng quan về Honeypots trước khi chuyển sang cách bạn có thể tránh bẫy honeypot trong web scraping.
Honeypots trong an ninh mạng là một hệ thống mồi nhử được thiết kế tương tự như một hệ thống bị xâm nhập hợp pháp. Mục tiêu chính của nó là mồi nhử tội phạm mạng mua thời gian và nỗ lực để khai thác các lỗ hổng có chủ ý đối với hệ thống máy tính. Sau đó, nó cảnh báo cho nhóm an ninh mạng nội bộ của bạn về những nỗ lực xâm nhập của những kẻ tấn công.
Sự cảnh giác này sẽ cho phép nhóm bảo mật của bạn điều tra các cuộc tấn công trực tiếp thông qua honeypots để giảm thiểu lỗ hổng và thu hút những kẻ tấn công khỏi việc gây hại cho hệ thống hợp pháp.
Vì honeypots giống hệt với một hệ thống máy tính thực tế với phần mềm ứng dụng và dữ liệu để đánh lừa tội phạm mạng, nó được cố tình phát triển với các lỗ hổng bảo mật. Một ví dụ nổi bật sẽ là một số cổng dễ bị tổn thương để mở để thu hút những kẻ tấn công vào honeypot thay vì hệ thống thực tế.
Ngoài ra, một kịch bản honeypot khác sẽ bắt chước trang Cổng thanh toán trên internet, đây sẽ là mục tiêu lý tưởng cho tội phạm mạng để theo dõi số thẻ tín dụng. Khi tội phạm mạng truy cập vào một trang như vậy, nhóm bảo mật của bạn có thể đánh giá hành vi của họ và theo dõi chuyển động của họ để làm cho Cổng thanh toán hợp pháp an toàn hơn.
Từ hoạt động của honeypots, bạn có thể coi đây là một công cụ có giá trị giúp xác định các lỗ hổng bảo mật cho tổ chức của bạn và phát hiện các mối đe dọa mới. Hơn nữa, bạn sẽ phân tích xu hướng của kẻ tấn công và giới thiệu các cơ chế để bảo vệ khỏi các mối đe dọa như vậy.
Honeypots có thể được phân loại dựa trên mức độ triển khai và tham gia của chúng. Dựa trên việc triển khai, bạn có thể phân loại chúng là:
Honeypots sản xuất - những honeypot này được triển khai cùng với các máy chủ sản xuất thực trên mạng nội bộ của tổ chức bạn. Mục tiêu của nó là phát hiện các cuộc tấn công tích cực vào mạng nội bộ và chuyển hướng chúng khỏi máy chủ hợp pháp.
Ngược lại, honeypots nghiên cứu được sử dụng để thu thập và phân tích cách kẻ tấn công sẽ thực hiện một cuộc tấn công tiềm năng vào hệ thống bằng cách phân tích hành vi của chúng. Thông qua phân tích như vậy, nhóm bảo mật sẽ có thể tăng cường khả năng phòng thủ của hệ thống.
Sau đó, dựa trên mức độ tham gia, honeypots có thể được phân loại như sau:
Honeypots tinh khiết - đây là những hệ thống sản xuất quy mô đầy đủ dường như chứa dữ liệu bí mật hoặc nhạy cảm. Các nhóm bảo mật giám sát ý định của những kẻ tấn công bằng vòi lỗi được cài đặt nơi các honeypots kết nối với mạng.
Honeypots tương tác cao - mục đích chính là khiến kẻ tấn công đầu tư nhiều thời gian nhất có thể để xâm nhập vào các lỗ hổng bảo mật để tấn công hệ thống. Điều này sẽ cho phép các nhóm an ninh mạng của bạn quan sát mục tiêu của những kẻ tấn công trong hệ thống và phát hiện ra các lỗ hổng của nó. Một ví dụ điển hình của honeypot tương tác cao sẽ là Cơ sở dữ liệu.
Honeypot tương tác trung bình- bắt chước lớp ứng dụng mà không có Hệ điều hành để kẻ tấn công bị nhầm lẫn hoặc trì hoãn nhiệm vụ của chúng. Điều này sẽ cho phép các chuyên gia bảo mật của bạn câu giờ để phản ứng với cuộc tấn công trong trường hợp này.
Honeypot tương tác thấp- Các honeypot này rất dễ thiết lập và sử dụng TCP (Giao thức điều khiển truyền), Giao thức Internet (IP) và các dịch vụ mạng. Chúng ít tốn tài nguyên hơn. Trọng tâm chính của nó là mô phỏng các hệ thống mà những kẻ tấn công thường nhắm mục tiêu nhất. Vì vậy, các chuyên gia bảo mật Thu thập thông tin về loại tấn công và điểm xuất phát của nó. Các nhóm bảo mật cũng sử dụng chúng cho các cơ chế phát hiện sớm.
Cho đến nay, bạn đã phát hiện ra một honeypot như một Máy ảo duy nhất trong một mạng. Ngược lại, honeynets là một loạt các honeypot được nối mạng với nhau, như thể hiện trong sơ đồ dưới đây. Một honeypot duy nhất là không đủ để giám sát lưu lượng truy cập đáng ngờ vào một mạng lưới rộng lớn hơn.
Các honeynet được kết nối với phần còn lại của mạng thông qua một cổng "honeywall" giám sát lưu lượng truy cập vào mạng và hướng chúng đến các nút honeypot.
Với sự trợ giúp của honeynet, nhóm bảo mật của bạn có thể điều tra các mối đe dọa an ninh mạng ở quy mô lớn, chẳng hạn như các cuộc tấn công từ chối dịch vụ phân tán (DDOS) và ransomware. Sau đó, nhóm bảo mật có thể thực hiện các biện pháp phòng ngừa có liên quan để xua đuổi những kẻ tấn công khỏi hệ thống thực tế.
Honeynets bảo vệ toàn bộ mạng của bạn khỏi lưu lượng truy cập đáng ngờ trong và ngoài nước và là một phần của mạng xâm nhập rộng lớn.
Bây giờ bạn có thể cho rằng với sự hiện diện của honeypots, mạng của bạn hoàn toàn an toàn. Tuy nhiên, đó không phải là thực tế, vì honeypot có một số nhược điểm và không thay thế bất kỳ cơ chế bảo mật nào.
Honeypots không thể phát hiện tất cả các mối đe dọa bảo mật ngoài kia - chỉ vì một mối đe dọa cụ thể không xâm nhập vào các lỗ hổng trong honeypot không có nghĩa là nó sẽ không xâm nhập vào hệ thống hợp pháp. Mặt khác, một hacker chuyên nghiệp sẽ xác định honeypot là bất hợp pháp và tấn công các hệ thống mạng khác, khiến honeypot không bị ảnh hưởng.
Kẻ tấn công cũng có thể thực hiện các cuộc tấn công giả mạo để chuyển hướng sự chú ý của bạn từ việc khai thác thực tế sang môi trường sản xuất của bạn.
Thậm chí tệ hơn, một hacker sáng tạo hơn sẽ sử dụng honeypot như một cách để xâm nhập vào môi trường sản xuất của bạn. Đây là lý do rõ ràng tại sao honeypots không thể thay thế các cơ chế bảo mật khác như tường lửa. Vì vậy, vì honeypot có thể hoạt động như một bệ phóng để tấn công phần còn lại của hệ thống, bạn phải đề phòng đầy đủ cho từng honeypot trong mạng.
Có bẫy honeypot để tránh quét web bất hợp pháp, có nghĩa là chỉ một số ít scrapers cạo thông tin có bản quyền. Thật không may, do ít phế liệu này, những người phế liệu hợp pháp đôi khi cũng phải trả giá. Điều này là do các honeypots không thể phân biệt các scraper hợp pháp với những người không hợp pháp.
Các trang web chứa các liên kết mà chỉ trình thu thập thông tin mới có thể truy cập. Vì vậy, khi trình thu thập dữ liệu thu thập dữ liệu từ các liên kết đó, trang web sẽ phát hiện hoạt động thu thập dữ liệu. Do đó, một trang web có bẫy honeypot có thể dễ dàng theo dõi và phát hiện hoạt động quét web của bạn vì việc cạo từ các trang web này là bất hợp pháp. Do đó, IP của bạn có khả năng bị chặn và do đó bạn sẽ không nhận được dữ liệu mong muốn.
Để mồi nhử các scraper, một số trang web có liên kết honeypot sử dụng thuộc tính hiển thị CSS của họ để không có. Do đó, bạn phải đảm bảo rằng trình thu thập thông tin của bạn chỉ theo các liên kết hiển thị. Ngoài ra, để tránh bị chặn, tốt nhất bạn nên tuân theo các quy tắc và hướng dẫn của trang web bạn đang cạo.
Mặc dù honeypots có những rủi ro nhất định, nhưng lợi ích chắc chắn lớn hơn rủi ro, như thể hiện trong phần giới hạn. Do đó, honeypots là một cơ chế thiết yếu cần có khi xem xét đầu tư bảo mật cho tổ chức của bạn. Ngoài ra, mặt khác, hãy đảm bảo rằng các chuyên gia có chuyên môn đang thực hiện đánh giá bảo mật và honeypots của bạn.