هانیپات چیست؟
هانیپات یک سیستم جعلی و مشابه یک سیستم واقعی است که عملکردی شبیه به یک تله دیجیتالی دارد و از طریق شبیهسازی رخنهها و آسیبپذیریها، سعی میکند هکرها را فریب داده و آنها را بهسمت خود جذب کند. هنگامی که هکرها به سراغ سیستمی میروند که هانیپات روی آن نصب شده است، تصور میکنند به هدف مدنظر دست پیدا کردهاند، در حالی که تمامی اقدامات آنها برای هک سامانه توسط ابزارهای تحلیلی ضبط میشوند. در چنین شرایطی، کارشناسان امنیتی میتوانند درباره روش و چگونگی دور زدن کنترلهای امنیتی که هکرها از آنها استفاده کردهاند به اطلاعات ارزشمندی دست پیدا کنند. به بیان دیگر، هانیپات نوعی فناوری فریب است که به کارشناسان امنیتی در درک الگوهای رفتاری هکرها کمک زیادی میکند. بهطور کلی، هانیپاتها برای بررسی نقضهای امنیتی و جمعآوری اطلاعات در مورد نحوه فعالیت هکرها مورد استفاده قرار میگیرند.
عملکرد هانیپات به چه صورتی است؟
همانگونه که اشاره شد، هانیپات کاملا شبیه به یک سیستم واقعی است که برنامهها و اطلاعات بهظاهر معتبر و مهمی روی آن قرار دارد. بهطور مثال، یک هانیپات میتواند سیستم صدور فاکتور و صورتحساب مشتری (جعلی) شرکت را داشته باشد تا هکرها را ترغیب کند برای پیدا کردن شماره کارتهای اعتباری به سراغ آن بروند. هنگامی که هکرها فرآیند نفوذ به سیستم را آغاز میکنند، از همان ابتدا تمامی فعالیتهای آنها ردیابی میشود تا سرنخهایی در مورد نقاط ضعف امنیت شبکه بهدست آید.
علاوه بر این، هانیپاتها مجهز به آسیبپذیریهای شناختهشدهای هستند که برای هکرها جذاب است. بهطور مثال، کارشناسان امنیتی در هنگام ساخت یک هانیپات ممکن است پورتهایی را روی سیستم باز بگذارند یا از گذرواژههای نهچندان قدرتمندی برای حسابهای کاربری استفاده کنند تا هکرها را ترغیب کنند به سراغ این سامانهها بروند.
با این توصیف باید بگوییم که هانیپات یک ابزار اطلاعاتی است که میتواند به کارشناسان امنیتی کمک کند تهدیدهای پیرامون منابع سازمانی و سیستمهای تجاری را شناسایی کنند یا تهدیدهای بالقوه و جدید را تشخیص دهند. اطلاعاتی که یک هانیپات در اختیار کارشناسان امنیتی قرار میدهد به آنها در اولویتبندی خطمشیهای امنیتی و تدوین استراتژیهای دفاعی کمک فراوانی میکند. با نظارت بر ترافیک ورودی به سیستم هانیپات قادر به ارزیابی موارد زیر هستید:
- موقعیت جغرافیایی مجرمان سایبری را شناسایی کنید.
- سطح و وسعت تهدید را ارزیابی کنید.
- درباره روشهایی که هکرها از آنها استفاده میکنند، اطلاعات فنی بهدست آورید.
- دادهها و برنامههای را کاربردی که هکرها به آنها علاقه دارند شناسایی کنید.
- میزان اثرگذاری اقدامات امنیتی را که برای مقابله با حملههای سایبری از آنها استفاده میکنید تحلیل کنید.
هانیپاتهای رایج و عملکرد آنها
هانیپاتها انواع مختلفی دارند و به همین دلیل سطح محافظتی مختلفی ارائه میدهند. بهطور معمول، هر کسبوکاری سیستمهای مختلفی دارد که از بستههای امنیتی متنوعی برای محافظت از آنها استفاده میکند و هانیپاتها نیز بر مبنای عملکرد این ابزارهای امنیتی پیادهسازی میشوند. همین مسئله باعث شده تا کارشناسان امنیتی برای شناسایی تهدیدات مختلف از هانیپاتهای متنوعی استفاده کنند. بهطور کلی، هانیپاتها به گروههای زیر تقسیم میشوند.
هانیپاتهای تولیدی
این هانیپاتها، تلههایی هستند که نقاط آسیبپذیری به هکرها نشان میدهند تا جذب آنها شوند و از سیستمهای واقعی دور شوند. هانیپاتهای تولیدی با هدف منحرف کردن خطرات سایبری از سیستمهای واقعی مورد استفاده قرار میگیرند و بهطور همزمان فعالیتهای مخرب را تجزیهوتحلیل میکنند.
هانیپاتهای تحقیقاتی
این نوع هانیپاتها برای جمعآوری اطلاعات درباره فناوریهای جدید یا برنامههایی که قرار است روی سیستمهای نهایی نصب شوند، مورد استفاده قرار میگیرند. این هانیپاتها از دادهها برای ردیابی دقیقتر تجزیهوتحلیلهای کارآمدتر حملهها استفاده میکنند.
تلههای ایمیل (Email Traps) یا تلههای هرزنامه
این هانیپات یک آدرس ایمیل جعلی در مکانی دور از دید کاربران عادی قرار میدهد که تنها یک ربات جمعآوری آدرس ایمیل قادر به یافتن آن است. با توجه به اینکه آدرس فوق برای هیچ هدفی غیر از تله هرزنامه استفاده نمیشود، هر ایمیلی که برای آن ارسال میشود یک هرزنامه خواهد بود. کارشناسان امنیتی میتوانند این هانیپاتها را بهگونهای تنظیم کنند که تمامی ایمیلهایی را که با محتوای مشابه به تله هرزنامه ارسال میشوند دریافت کرده و بهطور خودکار مسدود کند، به طوری که آدرس آیپی منبع فرستندهها به لیست سیاه وارد شود.
پایگاه داده طعمه (decoy database)
در روش فوق یک پایگاه داده بهعنوان طعمه در نظر گرفته میشود تا هکرها را ترغیب کند به سوءاستفاده از معماری غیرامن بپردازند و از تکنیکهایی مثل تزریق کد اسکیوال و موارد دیگر برای نفوذ به پایگاه داده استفاده کنند. در این حالت، کارشناسان شبکه بهخوبی قادر به شناسایی آسیبپذیریهایی خواهند بود که نیازمند نظارت بیشتر هستند.
هانیپات عنکبوتی (Spider Honeypot)
این مدل هانیپاتها با ساخت صفحات وب و لینکهایی که تنها خزندههای وب به آنها دسترسی دارند، سعی میکنند، نرمافزارهای مخربی را که عملکردی شبیه به خزندههای وب دارند و با هدف جمعآوری اطلاعات فنی وبسایتها مورد استفاده قرار میگیرند، به خود جذب کنند. شناسایی خزندههای وب به مسدود کردن رباتهای مخرب و تبلیغاتی کمک زیادی میکند.
کدامیک از انواع هانیپات عملکرد بهتری دارند، هانیپات کمتراکنش یا با تراکنش بالا ؟
یکی از تعاریف مهم هانیپات که باید در مورد آن اطلاعات کافی داشته باشید، هانیپات تعامل بالا (high-interaction) و هانیپات تعامل پایین (Low-interaction honeypots) است. هانیپاتهای با تعامل کم به منابع کمتری نیاز دارند و اطلاعات ابتدایی درباره سطح، نوع تهدید و مکانی که تهدید از آن شروع میشود، جمعآوری میکنند. پیادهسازی این مدل هانیپاتها ساده و سریع است، بهطوری که از طریق شبیهسازی پروتکلهای اولیه TCP ، IP و سرویسهای پرکاربرد شبکه راهاندازی میشوند. با اینحال، هانیپات با تعامل کم خیلی جذاب نیست که باعث شود هکرها برای مدت زمان طولانی وقت خود را صرف آن کنند. به همین دلیل اطلاعات فنی دقیقی درباره عادات یا تکنیکهای پیچیدهای که هکرها از آنها استفاده میکنند، ارائه نمیدهد.
در نقطه مقابل، هانیپاتهای با تعامل بالا برای ترغیب هکرها به صرف زمان بیشتری در هانیپات، پیادهسازی میشوند و در بیشتر موارد، اطلاعات زیادی درباره مقاصد و اهداف موردنظر هکرها و آسیبپذیریهای مستتر در سامانهها در اختیار کارشناسان شبکه قرار میدهند. همچنین، اطلاعات دقیقی در مورد روشهایی که هکرها برای نفوذ به سامانهها از آنها استفاده میکنند، ارائه میدهند. هانیپاتهای با تعامل بالا، پایگاههای داده، سیستمها و سرویسهایی را که میتوانند برای مدت زمان بیشتری هکرها را مشغول کنند تعریف میکنند تا کارشناسان امنیتی زمان کافی برای ارزیابی و تحلیل رفتار هکرها داشته باشند. بهطور مثال، هکرها برای یافتن اطلاعات حساس به چه بخشهایی از شبکه و سرورها مراجعه میکنند، از چه ابزارهایی برای افزایش سطح دسترسی و اعتبار و از چه اکسپلویتهایی برای به خطر انداختن سیستم استفاده میکنند.
با این حال، هانیپاتهای با تعامل بالا، به منابع سختافزاری سنگینی نیاز دارند و راهاندازی و نظارت بر آنها دشوارتر و زمانبرتر است. همچنین، این نوع هانیپاتها گاهیاوقات دردسرساز هستند. اگر هانیپات مورد استفاده به اندازه کافی ایمن نباشد، یک هکر ممکن است از ضعف هانیپات سوءاستفاده کند و برای دسترسی به میزبانهای اینترنتی یا ارسال هرزنامه استفاده کند. همچنین، این احتمال وجود دارد که طراحی ضعیف، هکرها را مشکوک کند که در حال کار با یک سیستم تحت کنترل هستند.
در مجموع باید بگوییم که هر دو نوع هانیپات در امنیت سایبری جایگاه و کاربرد خاص خود را دارند. به همین دلیل باید از هر دو مدل استفاده کنید تا اطلاعات اولیه در مورد انواع تهدیدها بهدست آورید. سازمانها میتوانند از طریق بهکارگیری هانیپاتهای با تعامل بالا و پایین بودجه امنیت سایبری را صرف مکانهای حساس و نقاطی کنند که ممکن است بهلحاظ طبیعی آسیبپذیر باشند.
بهکارگیری هانیپات چه مزایایی دارد؟
هانیپاتها میتوانند بهعنوان ابزار برای شناسایی آسیبپذیریهای مستتر در سیستمها و شبکه مورد استفاده قرار گیرند. بهطور مثال، هانیپات میتواند میزان مخاطرهپذیری و تهدیدات مرتبط با تجهیزات اینترنت اشیاء را نشان دهد تا کارشناسان امنیتی راهکارهایی برای حل مشکلات اتخاذ کنند. بهطور کلی، از مزایای هانیپاتها به موارد زیر باید اشاره کرد:
- شناسایی سریع تهدید و حمله: بهکارگیری هانیپات، نسبت به تلاش برای تشخیص نفوذ به سیستم ارجحیت دارد. بهطور مثال، مطابق با تعاریف ارائهشده برای هانیپاتها، این مکانیزمهای امنیتی نباید هیچگونه ترافیک قانونی داشته باشند، در این حالت، هرگونه فعالیت ثبتشده در هانیپات تلاش مهاجم برای نفوذ به آنرا نشان میدهد. راهکار فوق باعث میشود تا مواردی مثل شناسایی آدرسهای آیپی مشابه یا آدرسهای آیپی یک کشور که ترافیک مشکوکی از سمت آنها به زیرساخت ارسال میشود بهسادگی شناسایی شود. در این حالت، آدرسهایی که دریافت میکنید، آدرسهای مخربی هستند که امکان شناسایی و مسدود کردن آنها بهسادگی وجود دارد.
- عدم نیاز به سختافزار خیلی قوی: با توجه به اینکه هانیپاتها ترافیک بسیار محدودی را مدیریت میکنند، به سختافزار خیلی قوی که منابع سیستمی بالایی داشته باشد، نیازی ندارند. بهطوری که امکان استفاده از کامپیوترهای قدیمی که دیگر از آنها استفاده نمیشود، بهعنوان سیستم هانیپات وجود دارد. در مورد بخش نرمافزاری نیز امکان استفاده از هانیپاتهای آماده که بهشکل آنلاین در دسترس هستند، وجود دارد.
- کم شدن تعداد تشخیصهای اشتباه در ارتباط با حملهها: بر مبنای دادههای جمعآوریشده از طریق هانیپاتها و متصل کردن آنها با دیگر گزارشهای سیستمی و دیوارهای آتش، این امکان وجود دارد تا سیستمهای تشخیص نفوذ را با هشدارهای مرتبطتری پیکربندی کرد تا هشدارهای مثبت کاذب کمتری تولید شود. در این حالت، هانیپاتها میتوانند به بهبود دیگر مکانیزمهای امنیتی کمک زیادی کنند.
- ارائه اطلاعات مطمئن در ارتباط با حملههای سایبری: هانیپاتها این ظرفیت را دارند تا اطلاعات قابل اعتمادی درباره سیر تکامل تهدیدات سایبری پیرامون زیرساختها در اختیارتان قرار دهند. اطلاعات مذکور در مورد بردارهای حمله، سوءاستفادهها و بدافزارها، تلههای ایمیل، هرزنامهها و حملههای فیشینگ است. آمارها نشان میدهند که هکرها بهشکل پیوسته، تکنیکهای نفوذی را که از آنها استفاده میکنند تغییر میدهند. در چنین شرایطی، هانیپات بهعنوان یک ابزار شناسایی، قابلیت شناسایی تهدیدها و نفوذهای مختلف را خواهد داشت. برای این منظور باید هانیپات در نقطه درستی نصب شود تا بتواند نقاط کور مستتر در شبکه را حذف کند.
- آموزش الگوی رفتاری هکرها: هانیپاتها یکی از ابزارهای آموزشی کارآمد برای آموزش کارکنان بخش امنیت هستند. هانیپات محیطی کنترلشده و ایمن برای نشان دادن نحوه الگوی رفتاری هکرها و بررسی انواع مختلف تهدیدها ارائه میکند. با استفاده از هانیپات، کارکنان امنیتی از این نکته مطلع خواهند بود که تمامی ترافیک مرتبط با هانیپات به فعالیتهای هکری مربوط است و دیگر مجبور نیستند وقت خود را صرف ترافیکهای قانونی کنند. در نتیجه، تمام تمرکز خود را روی تهدیدها قرار میدهند.
- شناسایی تهدیدات داخلی: در شرایطی که بیشتر سازمانها وقت خود را صرف دفاع از زیرساختها در برابر عوامل خارجی میکنند، اما از این نکته غافل هستند که هانیپاتها توانایی تشخیص تهدیدات داخلی را دارند. البته، نکتهای که باید به آن دقت کنید این است که هر هکری که قبلا موفق به عبور از فایروال شده باشد، اکنون به زیرساخت سازمانی نفوذ کرده و قادر به انجام اقدامات خرابکارانه است. در شرایطی که فایروالها قادر نیستند در برابر تهدیدات داخلی به کارشناسان امنیتی کمک کنند و بهطور مثال نمیتوانند جلوی کارمندی را که قصد دارد قبل از ترک شغل خود فایلهای مهم را بدزدد بگیرند، هانیپات اطلاعات خوبی در مورد تهدیدات داخلی ارائه میدهد. همچنین، اطلاعات دقیقی در مورد آسیبپذیریهایی که به کارمندان اجازه میدهد از سیستم سوءاستفاده کنند نشان میدهد.
- کاهش سرعت حمله: هر چه هکرها وقت بیشتری صرف هانیپات کنند، زمان کمتری برای هک سیستمهای واقعی و ساخت در پشتی روی آنها در اختیار خواهند داشت.
بهکارگیری هانیپات با مخاطرات امنیتی همراه است؟
در حالت کلی باید بگوییم که خطری از جانب هانیپات زیرساخت را تهدید نمیکند. هانیپات بدون آنکه سیستمهای واقعی را در معرض خطر قرار دهد، از آنها محافظت میکند. با این حال، هانیپات نباید تنها مکانیزم امنیتی باشد که سازمان برای محافظت از اطلاعات مهم از آن استفاده میکند. هانیپاتها از آسیبپذیریهای کاذب برای به تله انداختن هکرها استفاده میکنند، به همین دلیل باید به نحوی به شبکه سازمانی متصل شوند. در اینجا، ضرورتی ندارد که هانیپات به سیستم یا زیرساخت ابرمحور اصلی یک سازمان متصل شود؛ بلکه یک وبسایت که ارتباطی با دامنه اصلی ندارد و تنها برای جذب حملههای هکری پیادهسازی شده جوابگوی این نیاز است.
نکتهای که باید به آن دقت کنید این است که هکرهای حرفهای ممکن است نوع سیستمهای امنیتی شما را تشخیص دهند و متوجه شوند در حال استفاده از هانیپات هستید، اما پس از فهمیدن این موضوع، برای جلوگیری از ردیابی خودشان توسط مکانیزم امنیتی، حمله را متوقف خواهند کرد. بدیهی است در این حالت، آسیبی به اطلاعات سازمانی وارد نمیشود.
همچنین، به این نکته دقت کنید که هانیپاتها قادر نیستند تمامی اتفاقاتی را که در جریان است مشاهده کنند. آنها فقط فعالیتهایی را که به سمت هانیپات هدایت میشوند مشاهده میکنند. از اینرو، اگر تهدید خاصی مرتبط با هانیپات نباشد، به این معنا نیست که هیچ حملهای وجود ندارد. یک هانیپات اگر بهدرستی پیکربندی شده باشد، این توانایی را دارد تا هکرها را فریب دهد تا تصور کنند به سیستم واقعی متصل شدهاند. در ادامه، هانیپات باید تمامی پیامهای هشدار ورود، فیلدهای داده، اطلاعاتی آماری و حتا آرمهای مشابه سیستمهای واقعی شما را داشته باشد. نکته ظریفی که باید در این زمینه به آن دقت کنید این است که اگر یک مهاجم موفق به شناسایی هانیپات شود، میتواند بدون هیچگونه اقدام مشکوکی در هانیپات، به سراغ سیستمهای اصلی سازمان برود.
در برخی موارد، هکرها بعد از شناسایی هانیپات، سعی میکنند حملههای جعلی انجام دهند تا توجه تیم فنی امنیتی از حملههای واقعی دور شود یا میتوانند اطلاعات نادرستی را به هانیپات وارد کنند تا کارشناسان امنیتی را گیج کنند. یک هکر حرفهای میتواند از هانیپات بهعنوان ابزاری برای ورود به سیستم استفاده کند. به همین دلیل است که هانیپاتها هرگز نباید جایگزین کنترلهای امنیتی مانند دیوارهای آتش و دیگر سیستمهای تشخیص نفوذ شوند یا به شبکه اصلی سازمان متصل شده باشند. از آنجایی که هانیپات میتواند بهعنوان دروازهای برای نفوذ بیشتر مورد سوءاستفاده قرار بگیرد، کارشناسان امنیتی باید اطمینان حاصل کنند که سطح حفاظتی پیرامون هانیپاتها در وضعیت مطلوبی قرار دارد.
میزبانی از هانیپاتها در زیرساختهای ابرمحور
کارشناسان شبکه و امنیت و تیمهای فناوری اطلاعات مستقر در سازمانها میتوانند از هانیپات برای محافظت از سیستمهای ذخیرهسازی مستقر در فضای ابری استفاده کنند. همانگونه که اشاره شد، هانیپاتها با هدف جمعآوری اطلاعات مربوط به هک که برای پیشگیری از حملهها و تقویت امنیت ضروری است، مورد استفاده قرار میگیرند. کارشناسان فناوری اطلاعات میتوانند هانیپاتها را بهشکل مستقیم روی زیرساختهای ابری قرار دهند، البته شرکتهای امنیتی این کار را پیشنهاد نمیکنند، زیرا ممکن است سیستمها را در معرض خطر جدی قرار دهد. راهکار جایگزین دیگر در این زمینه، استفاده از ابر عمومی برای میزبانی هانیپات است. ابر عمومی در تعامل با هانیپات برای شناسایی حملههای سایبری که از کشورهای مختلف جهان متوجه یک هدف خاص است، بهترین انتخاب است. بهطور کلی، هانیپاتهای مبتنی بر ابر را باید بهگونهای تنظیم کرد که در معرض دید هکرهایی باشند که در کشورهای مختلف قرار دارند. این تکنیک، اطلاعات بسیار ارزشمندی در اختیارتان قرار میدهد تا بتوانید از جدیدترین تکنیکهایی که هکرها برای نفوذ به سامانهها از آنها استفاده میکنند، اطلاع پیدا کنید و امنیت سایبری سازمان را به سطح بالاتری برسانید.
فرض کنید، هکرها هزاران کیلومتر دورتر از شما قرار دارند، با استفاده از هانیپات، میتوانید مشاهده کنید که هکرها برای نفوذ به شبکه سازمانی چه کارهایی انجام میدهند. در چنین شرایطی، میتوانید در بهترین زمان، به مقابله با تهدیدها بپردازید. در مجموع باید بگوییم که هانیپاتها میتوانند با ساخت تلههای دیجیتالی برای هکرهایی که قصد دارند از ضعف سیستمها برای نفوذ به آنها استفاده کنند، از زیرساختهای ابری، شبکهها یا سامانههای منفرد محافظت کنند. آمارها نشان میدهند فناوریهای مورد استفاده هکرها بهطور پیوسته در حال پیشرفت است. بنابراین، استفاده از هانیپات برای جمعآوری اطلاعاتی در مورد فعالیتهای هکری، کمک فراوانی به تدوین دکترین دفاعی کارآمد میکند.
ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را میتوانید از کتابخانههای عمومی سراسر کشور و نیز از دکههای روزنامهفروشی تهیه نمائید.
ثبت اشتراک نسخه کاغذی ماهنامه شبکه
ثبت اشتراک نسخه آنلاین
کتاب الکترونیک +Network راهنمای شبکهها
- برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.
کتاب الکترونیک دوره مقدماتی آموزش پایتون
- اگر قصد یادگیری برنامهنویسی را دارید ولی هیچ پیشزمینهای ندارید اینجا کلیک کنید.
نظر شما چیست؟