Trở lại năm 2016, những kẻ tạo ra botnet Mirai đã thể hiện rõ ràng những rủi ro đối với các thiết bị kết nối Internet, lợi dụng lỗ hổng của hàng nghìn thiết bị “thông minh”. Rõ ràng là không thể đạt được sự bảo vệ hiệu quả chống lại rủi ro IoT nếu không nhận dạng chính xác bất kỳ thiết bị nào trên Internet hoặc mạng công ty.
- Giới thiệu
- Internet of Things hoạt động như thế nào và mối nguy hiểm của nó là gì
- Nhận dạng IoT thụ động được sử dụng để làm gì?
- Việc đọc dấu vân tay của hệ điều hành thụ động hoạt động như thế nào?
- Các thông số ghi được khi lấy dấu vân tay kỹ thuật số
- Tính năng đọc dấu vân tay hệ điều hành trong mạng doanh nghiệp
- kết luận
Giới thiệu
Theo dự báo từ dịch vụ Statista, đến năm 2030, số lượng thiết bị “thông minh” được sử dụng trong mạng doanh nghiệp và Internet sẽ vượt quá 29 tỷ. Việc bảo vệ hiệu quả trước các rủi ro cho Internet of Things chỉ có thể được đảm bảo bằng cách giám sát và kiểm soát liên tục hoạt động mạng.
Tuy nhiên, điều này sẽ yêu cầu xác định tất cả các tiện ích được tìm thấy trên mạng. Điều này có thể được thực hiện bằng cách lấy dấu vân tay kỹ thuật số của hệ điều hành (OS) của thiết bị, được thảo luận trong bài viết này.
Internet of Things hoạt động như thế nào và mối nguy hiểm của nó là gì
Internet of Things (IoT) là tập hợp các thiết bị điện tử được kết nối qua Internet và trao đổi dữ liệu với nhau. Những “thứ” như vậy thường được gọi là thiết bị “thông minh”, vì chúng có khả năng thu thập và truyền thông tin mà không cần sự tương tác trực tiếp của con người, thực hiện các chức năng vốn có của chúng. Khái niệm IoT tập hợp nhiều thiết bị kỹ thuật khác nhau được sử dụng trong cuộc sống hàng ngày: TV thông minh, bộ định tuyến, camera IP, loa thông minh, các thiết bị và thiết bị gia dụng khác có truy cập Internet.
Vấn đề với IoT là tất cả các thiết bị này đều được kết nối với Internet và có khả năng tự động thực hiện một số tác vụ nhất định. Về vấn đề này, tội phạm mạng đã hơn một lần khai thác được lỗ hổng của Internet of Things và sự không đáng tin cậy của nhiều thiết bị được kết nối với Internet.
Do đó, botnet Mirai được đề cập ở trên đã quét Internet để tìm kiếm các thiết bị “thông minh” dựa trên bộ xử lý ARC, sau đó chặn quyền kiểm soát chúng, thêm chúng vào mạng zombie của nó. Sau khi tìm được thiết bị phù hợp, anh ta bắt đầu sử dụng vũ lực đơn giản nhất cho đến khi có được quyền truy cập. Trong hầu hết các trường hợp, việc tìm kiếm tổ hợp mật khẩu đăng nhập không khó. Nhiều thiết bị IoT mặc định sử dụng thông tin xác thực đơn giản như “quản trị viên – mật khẩu” được cài sẵn tại nhà máy. Các nhà sản xuất đã sản xuất hàng loạt thiết bị có cùng cài đặt mặc định trong nhiều năm vì điều đó giúp họ dễ dàng kiểm tra và bảo trì hơn. Nhưng mật khẩu mạnh của nhà sản xuất ít nhất sẽ cung cấp một số biện pháp bảo vệ khỏi bị hack.
Hình 1. Trình bày trực quan khái niệm IoT
Các chuyên gia khuyên bạn nên thay đổi cài đặt ngay trước khi bắt đầu sử dụng thiết bị IoT. Người dùng thông thường thường không chú ý đến những điều nhỏ nhặt này mà thích giao phó quyền kiểm soát cho ứng dụng chính thức từ nhà cung cấp. Không có gì đáng ngạc nhiên khi có khoảng 145 nghìn thiết bị IoT trong mạng botnet Mirai. Nhờ đó, những người tạo ra Mirai đã tổ chức được các cuộc tấn công DDoS lớn vào tài nguyên mạng của một số nhà cung cấp dịch vụ lưu trữ và các trang Internet phổ biến.
Trường hợp này không phải là trường hợp duy nhất, mặc dù nó được coi là một trong những cuộc tấn công lớn nhất vào thiết bị thông minh. Một trong những kẻ kế thừa nổi tiếng của Mirai là mạng botnet Satori, bắt đầu sử dụng các tiện ích không chỉ cho các cuộc tấn công DDoS mà còn cho các nhiệm vụ phức tạp hơn như khai thác. Hầu hết các cuộc tấn công mạng vào thiết bị nhà thông minh đều dựa trên việc sửa đổi phần mềm độc hại Mirai, Gafgyt và NyaDrop. Đồng thời, chúng ta thấy rằng ngày càng có nhiều ngành công nghiệp sử dụng các thiết bị thông minh, bao gồm công nghiệp, chăm sóc sức khỏe, lĩnh vực tài chính và kinh doanh khách sạn.
Do việc sử dụng rộng rãi các thiết bị thông minh trong sản xuất, các tổ chức y tế và các doanh nghiệp khác, nên cần phải tạo ra một Internet vạn vật công nghiệp (IIoT) an toàn. Một ví dụ về dự án như vậy là việc tạo ra cổng phần mềm Kaspersky IoT Secure Gateway từ Kaspersky Lab. Tuy nhiên, các tổ chức thương mại đã phải triển khai các giải pháp của riêng mình để đảm bảo tính bảo mật cho hệ thống IoT.
Nhận dạng IoT thụ động được sử dụng để làm gì?
Sự tăng trưởng về số lượng thiết bị “thông minh” đã đặt ra một câu hỏi hợp lý cho các chuyên gia bảo mật thông tin: làm thế nào để quản lý lưu lượng IoT và đảm bảo bảo vệ các nút mạng khác? Thật vậy, thông qua vectơ này, tội phạm mạng có thể vi phạm tính bảo mật của thông tin bị hạn chế hoặc chiếm quyền kiểm soát các tài nguyên hỗ trợ sự sống – ví dụ: hệ thống cung cấp năng lượng.
Quản trị viên bảo mật thông tin có thể nhận dạng loại thiết bị và hệ điều hành của nó bằng các mã định danh duy nhất được truyền bởi phần mềm cài đặt sẵn – ứng dụng khách. Tuy nhiên, việc cài đặt các ứng dụng như vậy có thể không có sẵn đối với một số hệ điều hành hoặc đơn giản là không thể thực hiện được. Đặc biệt, điều này áp dụng cho những hệ điều hành được sử dụng trong các thiết bị và hệ thống tích hợp Internet of Things.
Xét cho cùng, các thiết bị IoT được thiết kế để thực hiện các nhiệm vụ cụ thể và do đó thường có nguồn lực rất hạn chế. Điều này chủ yếu liên quan đến hiệu suất, cũng như bộ nhớ và bộ nhớ trong. Vì điều này, các thiết bị IoT có thể không hỗ trợ cài đặt một số ứng dụng bổ sung.
Vì những lý do này, chúng tôi quan tâm đến một phương pháp nhận dạng thụ động không yêu cầu cài đặt bất kỳ chương trình nào. Đồng thời, nó phải hoạt động hiệu quả như một hệ thống giám sát được tối ưu hóa cho các yêu cầu cụ thể của thiết bị IoT. Những phương pháp này bao gồm đọc dấu chân kỹ thuật số.
Hình 2. Nhận dạng hệ điều hành thụ động tương tự như đọc dấu vân tay
Việc đọc dấu vân tay của hệ điều hành thụ động hoạt động như thế nào?
Trong thực tế, nhận dạng thụ động của HĐH có thể so sánh với công việc kín đáo của dịch vụ bảo mật, tìm cách xác định những kẻ vi phạm tiềm năng trong số đông người dân dựa trên ngoại hình và hành vi của họ mà không cần tương tác trực tiếp với họ. Tương tự như ví dụ này, sự tương tác của thiết bị với không gian mạng có thể tiết lộ nhiều điều về danh tính, chức năng và các mối đe dọa tiềm ẩn của thiết bị đó.
Đọc thụ động không yêu cầu cài đặt ứng dụng khách. Phiên bản hệ điều hành và các thông số cụ thể được xác định bằng cách phân tích cấu trúc lưu lượng mạng cũng như hành vi của thiết bị.
Dấu vân tay hệ điều hành thụ động (pOf) là một tập hợp các thuộc tính lưu lượng mạng gián tiếp trỏ đến hệ điều hành của thiết bị khách. Nó cũng được xác định bởi kênh liên lạc mà qua đó kết nối Internet được thiết lập.
Cách tiếp cận này dựa trên các phương pháp đã được thiết lập và sử dụng cơ sở dữ liệu dấu vân tay tiêu chuẩn. Phần sau tóm tắt các mẫu và hành vi lưu lượng dành riêng cho các hệ điều hành khác nhau—ví dụ: các tham số được dịch trong tiêu đề TCP/IP và yêu cầu DHCP.
Về cơ bản, lấy dấu vân tay thụ động so sánh các tham số và lưu lượng mạng do thiết bị tạo với các cấu hình hệ điều hành đã biết để phân loại hoạt động mạng cụ thể.
Các thông số ghi được khi lấy dấu vân tay kỹ thuật số
Các đặc điểm thiết bị sau có thể được sử dụng để thực hiện lấy dấu vân tay của hệ điều hành:
- Địa chỉ MAC là mã định danh duy nhất mà mọi thiết bị mạng đều có. Nhận dạng địa chỉ MAC được sử dụng rộng rãi trong việc cung cấp khả năng kiểm soát truy cập vào tài nguyên mạng. Mỗi địa chỉ MAC thường chứa một mã định danh tổ chức (OUI) duy nhất được nhà sản xuất gán cho thiết bị. Ví dụ: bằng cách nhận dạng địa chỉ MAC “88:66:5a:12:08:8E”, quản trị viên bảo mật thông tin sẽ có thể xác định rằng thiết bị kỹ thuật này được sản xuất bởi Apple, vì tiền tố “88:66:5a” được liên kết với Apple Inc. Tương tự, luồng lưu lượng thiết bị IoT chứa các địa chỉ MAC với OUI dành riêng cho các nhà sản xuất cụ thể. Tuy nhiên, không nên giảm thiểu khả năng sao chép/giả mạo địa chỉ MAC của phần mềm.
- Cài đặt TCP/IP. Tiêu đề gói TCP và IP có một tập hợp các trường cụ thể ở định dạng thích hợp. Các hệ điều hành khác nhau triển khai các thuộc tính TCP/IP khác nhau và khác nhau về các giá trị trường có thể nhận biết như thời gian tồn tại của gói (TTL), kích thước cửa sổ, cờ trong tiêu đề TCP và nhiều giá trị khác. Quản trị viên bảo mật có thể so sánh và phân tích các trường này để xác định hệ điều hành cơ bản dựa trên việc triển khai ngăn xếp TCP/IP điển hình của nó. Tuy nhiên, dấu vân tay TCP/IP cũng có thể bị che giấu ở cấp độ proxy.
- Giao thức HTTP. Khi một thiết bị khách trao đổi dữ liệu mạng với máy chủ qua HTTP, nó sẽ gửi một tiêu đề Tác nhân người dùng đặc biệt. Trường này chứa thông tin về tên và phiên bản phần mềm, hệ điều hành của thiết bị và dữ liệu khác. Ví dụ về giá trị tiêu đề trong trình duyệt Chrome trên Linux: “Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.1.” Quản trị viên bảo mật có thể xem trường này cũng như các chuỗi khác trong thông báo HTTP để nhận dạng thiết bị.
- các yêu cầu DHCP. DHCP là giao thức mạng cấu hình máy chủ động được sử dụng để tự động gán địa chỉ IP. Yêu cầu DHCP bao gồm các trường nhất định cung cấp thông tin nhất định về máy khách. Thông tin này bao gồm tên máy chủ, ID lớp nhà cung cấp và loại hệ điều hành. Do có các cài đặt bổ sung và nhiều sửa đổi, các yêu cầu DHCP không được coi là nguồn thông tin đáng tin cậy để xác định hệ điều hành cơ bản, nhưng chúng vẫn được coi là hữu ích khi đặt nhiệm vụ nhận dạng thiết bị chi tiết.
Mặc dù có một số hạn chế, việc đánh giá toàn diện về hành vi và tham số ở cấp độ giao thức TCP/IP trong hầu hết các trường hợp cho phép chúng tôi giải quyết vấn đề nhận dạng tiện ích một cách đáng tin cậy. Quản trị viên bảo mật có thể dựa vào dấu vân tay của hệ điều hành để đưa ra các quyết định liên quan đến kiểm soát truy cập và tuân thủ các chính sách bảo mật mạng.
Tính năng đọc dấu vân tay hệ điều hành trong mạng doanh nghiệp
Với sự phát triển nhanh chóng của Internet of Things và các lỗ hổng liên quan, dấu vân tay của hệ điều hành có liên quan đến việc nhận dạng thụ động các thiết bị trong mạng công ty. Ví dụ, người ta biết rằng mục tiêu phổ biến nhất của tin tặc là bộ định tuyến, máy ảnh và máy in. Tuy nhiên, lấy dấu vân tay kỹ thuật số thủ công là một nhiệm vụ phức tạp, đòi hỏi kiến thức thực tế trong lĩnh vực này và tốn thời gian.
Vấn đề là một trong những quy mô. Việc phân tích thủ công luồng lưu lượng truy cập trên mạng công ty gần như không thể thực hiện được vì điều này đòi hỏi phải khớp hàng nghìn mã định danh duy nhất. Để giải quyết thách thức này, doanh nghiệp có thể chuyển sang sức mạnh của cơ sở hạ tầng mạng hội tụ và hệ thống bảo mật dựa trên đám mây. Ngăn xếp đám mây như SASE (Secure Access Service Edge) hoặc SSE (Secure Service Edge) có thể cung cấp quyền truy cập vào các tài nguyên cần thiết. Để phân tích luồng lưu lượng mạng lớn, bạn có thể sử dụng thuật toán học máy. Điều này sẽ xác định các dấu hiệu của hành vi đáng ngờ bằng cách tạo các mẫu dựa trên số liệu thống kê xử lý dữ liệu.
Cơ sở hạ tầng mạng hội tụ có thể cung cấp khả năng thu thập và phân tích dữ liệu mạng tự động. Thông tin thu được có thể được tham chiếu chéo với thông tin bảo mật từ nhiều nguồn khác nhau, chẳng hạn như hệ thống phát hiện tấn công mạng, nhật ký tường lửa và giải pháp bộ định tuyến. Điều này sẽ cho phép bạn có được bức tranh tổng thể về hoạt động mạng, cũng như xác định các kết nối với các hệ điều hành và thiết bị Internet of Things cụ thể.
kết luận
Giám sát an ninh mạng, phát hiện hoạt động đáng ngờ, ngăn chặn các mối đe dọa tiềm ẩn và chống lại các cuộc tấn công trên Internet không thể tách rời khỏi việc nhận dạng bắt buộc các thiết bị IoT. Nếu không hiểu rõ những nguyên tắc này, các chuyên gia CNTT và dịch vụ bảo mật thông tin của tổ chức sẽ không thể thực hiện các biện pháp bảo vệ dữ liệu hiệu quả.
Sự hội tụ hỗ trợ rất nhiều cho việc nhận dạng và phân loại tự động các thiết bị khách dựa trên các đặc điểm riêng của chúng và việc tổ chức bảng điều khiển quản lý tập trung giúp đơn giản hóa quá trình xác định và phân tích dấu vân tay kỹ thuật số của hệ điều hành trong doanh nghiệp. Các biện pháp như vậy sẽ giúp đảm bảo phản hồi ngay lập tức đối với các vấn đề cấp quyền truy cập cho thiết bị thông minh vào mạng nội bộ của tổ chức, cũng như tuân thủ các chính sách bảo mật.
