هانی پات چیست؟
تعریف هانی پات از دنیای جاسوسی ناشی می شود، جایی که جاسوسان از یک رابطه عاشقانه به عنوان راهی برای سرقت اسرار استفاده می کنند، به عنوان ایجاد «دام عسل» یا «ظرف عسل» توصیف می شوند. غالباً، یک جاسوس دشمن توسط یک تله عسل به خطر می افتد و سپس باج گیری می شود تا هرچه را می داند تحویل دهد.
هانی پات یک سیستم رایانه ای فداکارانه است که برای جذب حملات سایبری مانند یک فریبنده طراحی شده است. این یک هدف را برای هکرها تقلید می کند و از تلاش های نفوذ آنها برای به دست آوردن اطلاعات در مورد مجرمان اینترنتی و نحوه فعالیت آنها و یا منحرف کردن آنها از اهداف دیگر استفاده می کند.
هانی پات چگونه کار می کنند؟
Honeypot به نظر می رسد یک سیستم رایانه ای واقعی است، با برنامه ها و داده ها، مجرمان سایبری را گول می زند و فکر می کند این یک هدف قانونی است. به عنوان مثال، یک هانی پات می تواند از سیستم صورتحساب مشتری یک شرکت تقلید کند؛ هدف حمله مکرر این است که می خواهند شماره کارت اعتباری را پیدا کنند. پس از ورود هکرها، می توان آنها را ردیابی کرد و رفتار آنها را برای سرنخ هایی در مورد چگونگی امنیت بیشتر شبکه واقعی ارزیابی کرد.
هانی پات ها با ایجاد آسیب پذیری های امنیتی آگاهانه برای مهاجمان جذاب می شوند. به عنوان مثال، یک honeypot ممکن است پورت هایی داشته باشد که به اسکن درگاه یا رمزهای عبور ضعیف پاسخ می دهند. پورت های آسیب پذیر ممکن است به جای شبکه امن تر، برای جلب مهاجمان به محیط باشد.
هانی پات برای رفع مشکل خاصی مانند دیوار آتش یا آنتی ویروس راه اندازی نشده است. درعوض، این یک ابزار اطلاعاتی است که می تواند به شما کمک کند تهدیدهای موجود برای تجارت خود را درک کرده و ظهور تهدیدهای جدید را تشخیص دهید. با اطلاعاتی که از یک هانی پات به دست می آید، می توان تلاش های امنیتی را در اولویت قرار داد و متمرکز کرد.
انواع مختلف هانی پات و نحوه عملکرد آنها
برای شناسایی انواع مختلف تهدیدها می توان از انواع مختلف ظرف عسل استفاده کرد. تعاریف مختلف Honeypot بر اساس نوع تهدیدی است که به آن پرداخته می شود. همه آنها در یک استراتژی دقیق و موثر امنیت سایبری جایگاه دارند.
تله های ایمیل یا تله های اسپم یک آدرس ایمیل جعلی را در مکانی پنهان قرار می دهند که فقط یک برداشت کننده آدرس خودکار قادر به یافتن آن است. از آنجا که از این آدرس به غیر از دام هرزنامه استفاده نمی شود ، 100٪ مطمئن است که نامه ای که به آن می آید هرزنامه است. همه پیام هایی که دارای محتوای مشابه پیام های ارسال شده هرزنامه هستند می توانند به طور خودکار مسدود شوند و IP منبع ارسال کنندگان به لیست سیاه اضافه شود.
برای نظارت بر آسیب پذیری های نرم افزار و حملات نقطه ای با بهره گیری از معماری سیستم ناامن یا استفاده از تزریق SQL، بهره برداری از سرویس های SQL یا سوء استفاده از امتیاز، می توان یک پایگاه داده فریب ایجاد کرد.
یک بدافزار honeypot برای دعوت از حملات بدافزار از برنامه های نرم افزاری و API تقلید می کند. سپس ویژگی های بدافزار را می توان برای تولید نرم افزار ضد بدافزار یا بستن نقاط آسیب پذیر در API مورد تجزیه و تحلیل قرار داد.
هانی پات عنکبوتی با ایجاد صفحات وب و پیوندهایی که فقط برای خزنده ها قابل دسترسی است، شناسایی خزنده ها می تواند به شما کمک کند یاد بگیرید که چگونه ربات های مخرب و همچنین خزنده های شبکه آگهی را مسدود کنید.
تعریف دیگری از ظرف عسل به این موضوع می پردازد که هانی پات دارای تعامل بالا است یا کم تعامل. ظرف های عسل با تعامل کم از منابع کمتری استفاده می کنند و اطلاعات اساسی را در مورد سطح و نوع تهدید و محل ایجاد آن جمع آوری می کنند. تنظیم آنها آسان و سریع است، معمولاً فقط با برخی از پروتکل های شبیه سازی شده اولیه TCP و IP و سرویس های شبکه وجود دارد. اما در هانی پات چیزی برای درگیر کردن مهاجم برای مدت طولانی وجود ندارد و شما نمی توانید اطلاعات عمیقی در مورد عادات وی یا تهدیدهای پیچیده دریافت کنید.
از طرف دیگر، هانی پات ها با تعامل بالا هدفشان این است که هکرها هرچه بیشتر وقت خود را در داخل هانی پودر بگذرانند و اطلاعات زیادی در مورد اهداف و اهداف آنها و همچنین آسیب پذیری هایی که آنها در حال بهره برداری هستند و عملکرد آنها را ارائه دهند. آن را به عنوان یک هانی پات اضافه شده تصور کنید؛ پایگاه داده ها، سیستم ها و فرایندهایی که می توانند مهاجم را برای مدت طولانی تری درگیر کنند. این محققان را قادر می سازد تا ردیابی کنند که مهاجمان در سیستم برای یافتن اطلاعات حساس کجا می روند، از چه ابزاری برای افزایش امتیازات یا از چه سوءاستفاده هایی برای به خطر انداختن سیستم استفاده می کنند.
هانی پات با تعامل بالا، تشنه منابع هستند. تنظیم آنها و نظارت بر آنها دشوارتر و زمانبرتر است. آنها همچنین می توانند خطر ایجاد کنند. یک هکر واقعاً مصمم و حیله گر می تواند از یک Honeypot با تعامل بالا برای حمله به سایر میزبان های اینترنتی یا ارسال هرزنامه از دستگاهی که در معرض خطر است استفاده کند.
هر دو نوع هانی پات جایگاهی در امنیت سایبری هانی پات دارند. با استفاده از ترکیبی از هر دو، می توانید با افزودن اطلاعاتی در مورد اهداف، ارتباطات و بهره برداری از هانی پات با تعامل بالا، اطلاعات اساسی در مورد انواع تهدیدات ناشی از ظرف های عسل کم تعامل را اصلاح کنید.
با استفاده از هانی پات های سایبری برای ایجاد یک چارچوب اطلاعات تهدید، یک کسب و کار می تواند اطمینان حاصل کند که امنیت سایبری خود را در مکان های مناسب هدف قرار داده و می تواند نقاط ضعف امنیتی را ببیند.
فواید استفاده از هانی پات
Honeypot ها می تواند یک روش خوب برای آشکار سازی آسیب پذیری در سیستم های اصلی باشد. به عنوان مثال، یک هانی پات می تواند سطح بالایی از تهدید ناشی از حمله به دستگاه های اینترنت اشیا را نشان دهد. همچنین می تواند راه هایی را برای بهبود امنیت پیشنهاد دهد.
استفاده از هانی پات دارای مزایای متعددی نسبت به تلاش برای تشخیص نفوذ در سیستم واقعی است. به عنوان مثال، بر اساس تعریف، یک هانی پات نباید هیچگونه تردد قانونی داشته باشد، بنابراین هر فعالیتی که ثبت شده باشد احتمالاً یک کاوشگر یا یک اقدام به نفوذ است.
این کار آسان تر کردن الگوها، مانند آدرس های IP مشابه (یا آدرس های IP که از یک کشور می آیند) برای انجام جابجایی شبکه استفاده می شود. در مقابل، هنگامی که به دنبال ترافیک قانونی بالای شبکه اصلی خود هستید، این نشانه های قابل حمل از حمله به راحتی از بین می روند. مزیت بزرگ استفاده از امنیت honeypot این است که این آدرس های مخرب ممکن است تنها آدرس هایی باشند که شناسایی می کنند و شناسایی حمله را بسیار آسان می کند.
از آنجا که هانی پات ها از ترافیک بسیار محدودی استفاده می کنند، نور کمتری نیز دارند. آنها تقاضای زیادی برای سخت افزار ندارند. با استفاده از رایانه های قدیمی که دیگر از آنها استفاده نمی کنید، می توانید یک Honeypot راه اندازی کنید. در مورد نرم افزار، تعدادی از هانی پات های آماده از مخازن آنلاین در دسترس است که باعث کاهش بیشتر تلاش داخلی برای راه اندازی هانی پات می شود.
ظرف های عسل سرعت مثبت کاذب کمی دارند. این کاملاً در تضاد با سیستم های سنتی نفوذ (IDS) است که می توانند سطح بالایی از هشدارهای کاذب را ایجاد کنند. باز هم، این به اولویت بندی تلاش ها کمک می کند و تقاضای منابع را از یک ظرف عسل در سطح پایین نگه می دارد. (در واقع، با استفاده از داده های جمع آوری شده توسط honeypot ها و همبستگی آن با سیستم های دیگر و سیاهه های مربوط به دیوار آتش، می توان IDS را با هشدارهای مربوطه پیکربندی کرد تا نتایج کاذب کمتری ایجاد کند. به این ترتیب، honeypots می تواند به اصلاح و بهبود سایر سیستم های امنیت سایبری کمک کند).
Honeypots می تواند در مورد چگونگی تکامل تهدیدها، اطلاعات قابل اعتماد به شما بدهد. آنها اطلاعاتی در مورد بردارهای حمله، سوء استفاده ها و بدافزارها را به شما ارائه می دهند و در مورد تله های ایمیل، در مورد هرزنامه ها و حملات فیشینگ. هکرها به طور مداوم تکنیک های نفوذ خود را اصلاح می کنند. هانی پات سایبری کمک می کند تا تهدیدات و نفوذهای تازه ظهور یافته را تشخیص دهید. استفاده خوب از ظرف های عسلی به ریشه کنی نقاط کور نیز کمک می کند.
Honeypot ها همچنین ابزارهای آموزشی بسیار خوبی برای کارکنان امنیت فنی است. هانی پات یک محیط کنترل شده و ایمن برای نشان دادن نحوه کار مهاجمین و بررسی انواع مختلف تهدیدات است. با استفاده از یک Honeypot، کارکنان امنیتی با استفاده از شبکه از ترافیک واقعی منحرف نخواهند شد؛ آنها می توانند 100٪ بر تهدید تمرکز کنند.
هانی پات ها می توانند تهدیدهای داخلی را نیز به همراه داشته باشند. اکثر سازمان ها وقت خود را صرف دفاع از محیط می کنند و اطمینان حاصل می کنند که افراد خارجی و متجاوز نمی توانند وارد آن شوند. اما اگر فقط از محیط دفاع کنید، هر هکری که با موفقیت از دیوار آتش شما عبور کرده باشد، خالی از لطف نیست تا هرگونه صدمه ای که اکنون می زند وارد کند.
فایروال ها همچنین در برابر تهدید داخلی کمک نخواهند کرد؛ برای مثال کارمندی که می خواهد پرونده ها را قبل از ترک شغل خود بدزدد. یک honeypot می تواند به همان اندازه در مورد تهدیدات داخلی اطلاعات خوبی به شما بدهد و آسیب پذیری هایی را در مناطقی مانند مجوزها که به افراد داخلی اجازه می دهد از سیستم سوءاستفاده کنند نشان دهد.
خطرات هانی پات
در حالی که امنیت سایبری هانی پات به شما کمک می کند تا محیط تهدید را ترسیم کنید، اما هانی پات ها هر آنچه را که در جریان است مشاهده نخواهند کرد؛ فقط فعالیت هایی که به آن لانه می زنند. فقط به این دلیل که تهدید خاصی علیه ظرف عسل صورت نگرفته است، نمی توانید تصور کنید که وجود ندارد.
یک هانی پات خوب و پیکربندی شده، مهاجمان را فریب می دهد و باور دارند که به سیستم واقعی دسترسی پیدا کرده اند. این پیام ها همان پیام های هشدار ورود به سیستم، همان زمینه های داده، حتی ظاهر و احساس و آرم های مشابه سیستم های واقعی شما را دارند. با این حال، اگر یک مهاجم موفق به شناسایی آن به عنوان یک هانی پات شود، پس از آن می تواند به سیستم های دیگر شما حمله کند در حالی که Honeypot دست نخورده است.
هنگامی که یک ظرف عسل نشانه گذاری شد، یک مهاجم می تواند حملات جعلی را ایجاد کند تا توجه را از بهره برداری واقعی که علیه سیستم های تولیدی شما هدف قرار گرفته است، منحرف کند.
از این بدتر، یک مهاجم هوشمند می تواند به طور بالقوه از هانی پات به عنوان راهی برای ورود به سیستم های شما استفاده کند. به همین دلیل هانی پات ها هرگز نمی توانند جایگزین کنترل های امنیتی کافی مانند دیوارهای آتش و سایر سیستم های تشخیص نفوذ شوند. از آنجا که یک هانی پات می تواند به عنوان سکوی پرتاب برای نفوذ بیشتر عمل کند، اطمینان حاصل کنید که همه هانی پات ها از امنیت خوبی برخوردار نیستند. یک «Honeywall» می تواند امنیت اساسی Honeypot را فراهم کند و از حمله به سیستم Honey شما جلوگیری کند.
یک هانی پات باید به شما اطلاعات بدهد تا در اولویت قرار دادن تلاش های شما برای امنیت سایبری باشد؛ اما نمی تواند جایگزین امنیت سایبری مناسب شود. با وجود تعداد زیادی هانی پات، بسته ای مانند Kaspersky’s Endpoint Security Cloud را برای محافظت از دارایی های کسب و کار خود در نظر بگیرید. (کسپرسکی از هانی پات های مخصوص خود برای شناسایی تهدیدات اینترنتی استفاده می کند).
به طور کلی، مزایای استفاده از هانی پات بسیار بیشتر از خطرات آن است. تصور می شود که هکرها یک تهدید دور و نامرئی هستند؛ اما با استفاده از هانی پات، می توانید دقیقاً آنچه را که انجام می دهند در زمان واقعی مشاهده کنید و از این اطلاعات برای جلوگیری از رسیدن به خواسته های آنها استفاده می کنید.
درباره فائزه تقی پور
فائزه تقی پور هستم دانشجوی کارشناسی شبکه کامپیوتری حدود یک سالی هست که نویسنده ام و دارای مهارت ها و مدرک دوره های +MCSA, CCNA ,Network هستم.
نوشته های بیشتر از فائزه تقی پور
دیدگاهتان را بنویسید