در مقاله قبلی به معرفی Honeypot ها، مزایا و معایب این سیستمهای امنیتی، و انواع آنها پرداختیم. در این مقاله قصد داریم کاربردهای Honeypot ها را به شما معرفی کنیم.
Honeypot های با تعامل زیاد
اکنون شما می دانید که Honeypot ها ابزارهایی بسیار انعطاف پذیرند که می توانند برای اهداف مختلفی مورد استفاده قرار گیرند. شما می توانید از آنها به عنوان ابزارهایی در انبار مهمات امنیتی خود به هر نحوی که مناسب نیازهای شماست استفاده کنید. به طور کلی می توان Honeypot ها را از لحاظ ارزش کاربردی در دو دسته «تجاری» و «تحقیقاتی» دسته بندی کرد. معمولا Honeypot های با تعامل کم برای اهداف تجاری مورد استفاده قرار می گیرند، درحالیکه Honeypot های با تعامل زیاد برای مقاصد تحقیقاتی استفاده می شوند. به هر حال هر یک از انواع Honeypot می توانند برای هر یک از اهداف فوق مورد استفاده قرار گیرند و هیچ یک از این اهداف، برتر از دیگری نیستند. زمانی که Honeypot ها برای اهداف تجاری مورد استفاده قرار می گیرند، می توانند از سازمانها به سه روش محافظت نمایند: جلوگیری از حملات، تشخیص حملات، و پاسخگویی به حملات. اما زمانیک ه برای اهداف تحقیقاتی مورد استفاده قرار می گیرند، اطلاعات را جمع آوری می کنند. این اطلاعات ارزش های مختلفی برای سازمانهای گوناگون دارند. برخی سازمانها ممکن است بخواهند راهکارهای مهاجم را مطالعه کنند، در حالیکه ممکن است برخی دیگر به هشدارها و پیشگیری های زودهنگام علاقه مند باشند.
جلوگیری از حملات
Honeypot ها می توانند به روشهای مختلف از بروز حملات جلوگیری کنند. برای مثال Honeypot ها می توانند از حملات خودکار مانند حملاتی که به وسیله کرمها آغاز می شوند پیشگیری نمایند. این حملات مبتنی بر ابزارهایی هستند که به صورت تصادفی کل شبکه را اسکن کرده و به دنبال سیستمهای آسیب پذیر می گردند. اگر این سیستمها پیدا شوند، این ابزارهای خودکار به آن سیستم حمله کرده و کنترل آن را به دست می گیرند.Honeypot ها با کند کردن پروسه اسکن و حتی توقف آن به دفاع در برابر چنین حملاتی کمک می کنند. این Honeypot ها که به نام «Honeypot های چسبناک» معروفند، فضای IP بدون استفاده را کنترل می کنند. زمانی که این Honeypot ها با یک فعالیت اسکن روبرو می شوند، شروع به تعامل کرده و سرعت کار مهاجم را کند می کنند. آنها این کار را با انواع مختلف ترفندهای TCP مانند استفاده از پنجره با اندازه صفر انجام می دهند. یک مثال از Honeypot های چسبناک، La Brea Tar pit است. Honeypot های چسبناک معمولا از دسته با تعامل کم هستند. حتی می توان آنها را Honeypot بدون تعامل دانست، چرا که مهاجم را کند و متوقف می سازند.
شما می توانید با استفاده از Honeypot ها از شبکه خود در برابر حملات انسانی غیر خودکار نیز محافظت نمایید. این ایده مبتنی بر فریب یا تهدید است. در این روش شما مهاجمان را گیج کرده و زمان و منابع آنها را تلف می کنید. به طور همزمان سازمان شما قادر است که فعالیت مهاجم را تشخیص داده و در نتیجه برای پاسخگویی و متوقف کردن آن فعالیت زمان کافی در اختیار دارد. این موضوع حتی می تواند یک گام نیز فراتر رود. اگر مهاجمان بدانند که سازمان شما از Honeypot استفاده می کند ولی ندانند که کدام سیستمها Honeypot هستند، ممکن است به طور کلی از حمله کردن به شبکه شما صرفنظر کنند. در این صورت Honeypot یک عامل تهدید برای مهاجمان به شمار رفته است. یک نمونه از Honeypot هایی که برای این کار طراحی شده اند، Deception Toolkit است.
تشخیص حملات
یک راه دیگر که Honeypot ها با استفاده از آن از سازمان شما محافظت می کنند، تشخیص حملات است. از آنجایی که تشخیص، یک اشکال و یا نقص امنیتی را مشخص می کند، حائز اهمیت است. صرفنظر از این که یک سازمان تا چه اندازه امن باشد، همواره اشکالات و نقایص امنیتی وجود دارند. چرا که حداقل نیروی انسانی در پروسه امنیت درگیرند و خطاهای انسانی همیشه دردسر سازند. با تشخیص حملات، شما می توانید به سرعت به آنها دسترسی پیدا کرده، و خرابی آنها را متوقف ساخته یا کم نمایید.
ثابت شده است که تشخیص کار بسیار سختی است. تکنولوژیهایی مانند سنسورهای سیستم تشخیص نفوذ و لاگهای سیستمها، به دلایل مختلف چندان موثر نیستند. این تکنولوژیها داده های بسیار زیادی تولید کرده و درصد خطای تشخیص مثبت نادرست آن بسیار بالاست. همچنین این تکنولوژیها قادر به تشخیص حملات جدید نیستند و نمی توانند در محیطهای رمز شده یا IPv6 کار کنند. به طور معمول Honeypot های با تعامل کم، بهترین راه حل برای تشخیص هستند. چرا که به کار گرفتن و نگهداری این Honeypot ها ساده تر بوده و در مقایسه با Honeypot های با تعامل بالا، ریسک کمتری دارند.
پاسخگویی به حملات
Honeypot ها با پاسخگویی به حملات نیز می توانند به سازمانها کمک کنند. زمانی که یک سازمان یک مشکل امنیتی را تشخیص می دهد، چگونه باید به آن پاسخ دهد؟ این مساله معمولا می تواند یکی از چالش برانگیزترین مسائل یک سازمان باشد. معمولا اطلاعات کمی درباره اینکه مهاجمان چه کسانی هستند، چگونه به آنجا آمده اند، و یا اینکه چقدر تخریب ایجاد کرده اند وجود دارد. در این شرایط، داشتن اطلاعات دقیق در مورد فعالیت های مهاجمان بسیار حیاتی است. دو مساله با پاسخگویی به رویداد آمیخته شده است. اول اینکه بسیاری از سیستم هایی که معمولا مورد سوء استفاده قرار می گیرند نمی توانند برای تحلیل شدن از شبکه خارج گردند. سیستم های تجاری، مانند میل سرور یک سازمان، به حدی مهم هستند که حتی اگر این سیستم هک شود، ممکن است متخصصان امنیت نتوانند سیستم را از شبکه خارج کنند و برای تحلیل آن بحث نمایند. به جای این کار، آنها مجبورند به تحلیل سیستم زنده در حالی که هنوز سرویسهای تجاری را ارائه می کند، بپردازند. این موضوع باعث می شود که تحلیل اتفاقی که رخ داده، میزان خسارت به بار آمده، و تشخیص نفوذ مهاجم به سیستم های دیگر سخت باشد.
مشکل دیگر این است که حتی اگر سیستم از شبکه خارج گردد، به حدی آلودگی داده وجود دارد که تشخیص اینکه فرد مهاجم چه کاری انجام داده است بسیار سخت است. منظور از آلودگی داده، داده های بسیار زیاد در مورد فعالیت های گوناگون(مانند ورود کاربران، خواندن حسابهای ایمیل، فایلهای نوشته شده در پایگاه داده، و مسائلی از این قبیل) است که باعث می شود تشخیص فعالیت های معمول روزانه از فعالیتهای فرد مهاجم سخت باشد.
Honeypot ها برای هر دوی این مشکلات راه حل دارند. آنها می توانند به سرعت و سهولت از شبکه خارج گردند تا یک تحلیل کامل بدون تاثیر بر کارهای روزانه انجام گیرد. همچنین از آنجایی که این سیستم ها فقط فعالیت های خرابکارانه یا تایید نشده را ثبت می کنند، کار تحلیل بسیار ساده تر خواهد بود و داده های بسیار کمتری باید بررسی شوند. ارزش Honeypot ها به این است که آنها قادرند به سرعت اطلاعات عمیق و پرفایده را در اختیار سازمان قرار دهند تا بتواند به یک رویداد پاسخ دهد. Honeypot های با تعامل بالا بهترین گزینه برای پاسخگویی است. برای پاسخگویی به نفوذگران، شما باید دانش عمیقی در مورد کاری که آنها انجام داده اند، شیوه نفوذ، و ابزارهای مورد استفاده آنها داشته باشید. برای به دست آوردن این نوع داده ها، شما احتیاج به Honeypot های با تعامل بالا دارید.
استفاده از Honeypot ها برای مقاصد تحقیقاتی
همانطور که پیش از این اشاره شد، Honeypot ها می توانند برای مقاصد تحقیقاتی نیز مورد استفاده قرار گیرند. به این ترتیب اطلاعات ارزشمندی در مورد تهدیدات به دست می آید که تکنولوژیهای دیگر کمتر قادر به جمع آوری آن هستند. یکی از بزرگترین مشکلات متخصصان امنیت، کمبود اطلاعات یا آگاهی در مورد حملات مجازی است. زمانی که شما دشمن را نمی شناسید، چگونه می خواهید در برابر او دیوار دفاعی تشکیل دهید؟ Honeypot های تحقیقاتی این مشکل را با جمع آوری اطلاعاتی در مورد تهدیدات حل می کنند. سپس سازمانها می توانند از این اطلاعات برای مقاصد مختلفی مانند تحلیل، شناسایی ابزارها و روشهای جدید، شناسایی مهاجمان و جوامع آنها، هشدارهای اولیه و جلوگیری، و یا درک انگیزه های مهاجمان استفاده کنند.
اکنون شما باید درک بهتری از چیستی Honeypot ها، نحوه استفاده از آنها، تواناییها و مزایا و معایب آنها به دست آورده باشید.
فسا-پسا
