IRCAR201001047
پيش از اين در دو مقاله به معرفي Honeypot ها، مزايا و معايب اين سيستمهاي امنيتي، و انواع آنها پرداختيم. در اين مقاله قصد داريم كاربردهاي Honeypot ها را به شما معرفي كنيم.
Honeypot هاي با تعامل زياد
اكنون شما ميدانيد كه Honeypot ها ابزارهايي بسيار انعطاف پذيرند كه ميتوانند براي اهداف مختلفي مورد استفاده قرار گيرند. شما ميتوانيد از آنها به عنوان ابزارهايي در انبار مهمات امنيتي خود به هر نحوي كه مناسب نيازهاي شماست استفاده كنيد. به طور كلي ميتوان Honeypot ها را از لحاظ ارزش كاربردي در دو دسته «تجاري» و «تحقيقاتي» دسته بندي كرد. معمولا Honeypot هاي با تعامل كم براي اهداف تجاري مورد استفاده قرار ميگيرند، درحاليكه Honeypot هاي با تعامل زياد براي مقاصد تحقيقاتي استفاده ميشوند. به هر حال هر يك از انواع Honeypot ميتوانند براي هر يك از اهداف فوق مورد استفاده قرار گيرند و هيچ يك از اين اهداف، برتر از ديگري نيستند. زماني كه Honeypot ها براي اهداف تجاري مورد استفاده قرار ميگيرند، ميتوانند از سازمانها به سه روش محافظت نمايند: جلوگيري از حملات، تشخيص حملات، و پاسخگويي به حملات. اما زمانيك ه براي اهداف تحقيقاتي مورد استفاده قرار ميگيرند، اطلاعات را جمع آوري ميكنند. اين اطلاعات ارزش هاي مختلفي براي سازمانهاي گوناگون دارند. برخي سازمانها ممكن است بخواهند راهكارهاي مهاجم را مطالعه كنند، در حاليكه ممكن است برخي ديگر به هشدارها و پيشگيري هاي زودهنگام علاقه مند باشند.
جلوگيري از حملات
Honeypot ها ميتوانند به روشهاي مختلف از بروز حملات جلوگيري كنند. براي مثال Honeypot ها ميتوانند از حملات خودكار مانند حملاتي كه به وسيله كرمها آغاز ميشوند پيشگيري نمايند. اين حملات مبتني بر ابزارهايي هستند كه به صورت تصادفي كل شبكه را اسكن كرده و به دنبال سيستمهاي آسيب پذير ميگردند. اگر اين سيستمها پيدا شوند، اين ابزارهاي خودكار به آن سيستم حمله كرده و كنترل آن را به دست ميگيرند.Honeypot ها با كند كردن پروسه اسكن و حتي توقف آن به دفاع در برابر چنين حملاتي كمك ميكنند. اين Honeypot ها كه به نام «Honeypot هاي چسبناك» معروفند، فضاي IP بدون استفاده را كنترل ميكنند. زماني كه اين Honeypot ها با يك فعاليت اسكن روبرو ميشوند، شروع به تعامل كرده و سرعت كار مهاجم را كند ميكنند. آنها اين كار را با انواع مختلف ترفندهاي TCP مانند استفاده از پنجره با اندازه صفر انجام ميدهند. يك مثال از Honeypot هاي چسبناك، La Brea Tar pit است. Honeypot هاي چسبناك معمولا از دسته با تعامل كم هستند. حتي ميتوان آنها را Honeypot بدون تعامل دانست، چرا كه مهاجم را كند و متوقف ميسازند.
شما ميتوانيد با استفاده از Honeypot ها از شبكه خود در برابر حملات انساني غير خودكار نيز محافظت نماييد. اين ايده مبتني بر فريب يا تهديد است. در اين روش شما مهاجمان را گيج كرده و زمان و منابع آنها را تلف ميكنيد. به طور همزمان سازمان شما قادر است كه فعاليت مهاجم را تشخيص داده و در نتيجه براي پاسخگويي و متوقف كردن آن فعاليت زمان كافي در اختيار دارد. اين موضوع حتي ميتواند يك گام نيز فراتر رود. اگر مهاجمان بدانند كه سازمان شما از Honeypot استفاده ميكند ولي ندانند كه كدام سيستمها Honeypot هستند، ممكن است به طور كلي از حمله كردن به شبكه شما صرفنظر كنند. در اين صورت Honeypot يك عامل تهديد براي مهاجمان به شمار رفته است. يك نمونه از Honeypot هايي كه براي اين كار طراحي شده اند، Deception Toolkit است.
تشخيص حملات
يك راه ديگر كه Honeypot ها با استفاده از آن از سازمان شما محافظت ميكنند، تشخيص حملات است. از آنجايي كه تشخيص، يك اشكال و يا نقص امنيتي را مشخص ميكند، حائز اهميت است. صرفنظر از اين كه يك سازمان تا چه اندازه امن باشد، همواره اشكالات و نقايص امنيتي وجود دارند. چرا كه حداقل نيروي انساني در پروسه امنيت درگيرند و خطاهاي انساني هميشه دردسر سازند. با تشخيص حملات، شما ميتوانيد به سرعت به آنها دسترسي پيدا كرده، و خرابي آنها را متوقف ساخته يا كم نماييد.
ثابت شده است كه تشخيص كار بسيار سختي است. تكنولوژيهايي مانند سنسورهاي سيستم تشخيص نفوذ و لاگهاي سيستمها، به دلايل مختلف چندان موثر نيستند. اين تكنولوژيها داده هاي بسيار زيادي توليد كرده و درصد خطاي تشخيص مثبت نادرست آن بسيار بالاست. همچنين اين تكنولوژيها قادر به تشخيص حملات جديد نيستند و نميتوانند در محيطهاي رمز شده يا IPv6 كار كنند. به طور معمول Honeypot هاي با تعامل كم، بهترين راه حل براي تشخيص هستند. چرا كه به كار گرفتن و نگهداري اين Honeypot ها ساده تر بوده و در مقايسه با Honeypot هاي با تعامل بالا، ريسك كمتري دارند.
پاسخگويي به حملات
Honeypot ها با پاسخگويي به حملات نيز ميتوانند به سازمانها كمك كنند. زماني كه يك سازمان يك مشكل امنيتي را تشخيص ميدهد، چگونه بايد به آن پاسخ دهد؟ اين مساله معمولا ميتواند يكي از چالش برانگيزترين مسائل يك سازمان باشد. معمولا اطلاعات كمي درباره اينكه مهاجمان چه كساني هستند، چگونه به آنجا آمده اند، و يا اينكه چقدر تخريب ايجاد كرده اند وجود دارد. در اين شرايط، داشتن اطلاعات دقيق در مورد فعاليت هاي مهاجمان بسيار حياتي است. دو مساله با پاسخگويي به رويداد آميخته شده است. اول اينكه بسياري از سيستم هايي كه معمولا مورد سوء استفاده قرار ميگيرند نميتوانند براي تحليل شدن از شبكه خارج گردند. سيستم هاي تجاري، مانند ميل سرور يك سازمان، به حدي مهم هستند كه حتي اگر اين سيستم هك شود، ممكن است متخصصان امنيت نتوانند سيستم را از شبكه خارج كنند و براي تحليل آن بحث نمايند. به جاي اين كار، آنها مجبورند به تحليل سيستم زنده در حالي كه هنوز سرويسهاي تجاري را ارائه ميكند، بپردازند. اين موضوع باعث ميشود كه تحليل اتفاقي كه رخ داده، ميزان خسارت به بار آمده، و تشخيص نفوذ مهاجم به سيستم هاي ديگر سخت باشد.
مشكل ديگر اين است كه حتي اگر سيستم از شبكه خارج گردد، به حدي آلودگي داده وجود دارد كه تشخيص اينكه فرد مهاجم چه كاري انجام داده است بسيار سخت است. منظور از آلودگي داده، داده هاي بسيار زياد در مورد فعاليت هاي گوناگون(مانند ورود كاربران، خواندن حسابهاي ايميل، فايلهاي نوشته شده در پايگاه داده، و مسائلي از اين قبيل) است كه باعث ميشود تشخيص فعاليت هاي معمول روزانه از فعاليتهاي فرد مهاجم سخت باشد.
Honeypot ها براي هر دوي اين مشكلات راه حل دارند. آنها ميتوانند به سرعت و سهولت از شبكه خارج گردند تا يك تحليل كامل بدون تاثير بر كارهاي روزانه انجام گيرد. همچنين از آنجايي كه اين سيستم ها فقط فعاليت هاي خرابكارانه يا تاييد نشده را ثبت ميكنند، كار تحليل بسيار ساده تر خواهد بود و داده هاي بسيار كمتري بايد بررسي شوند. ارزش Honeypot ها به اين است كه آنها قادرند به سرعت اطلاعات عميق و پرفايده را در اختيار سازمان قرار دهند تا بتواند به يك رويداد پاسخ دهد. Honeypot هاي با تعامل بالا بهترين گزينه براي پاسخگويي است. براي پاسخگويي به نفوذگران، شما بايد دانش عميقي در مورد كاري كه آنها انجام داده اند، شيوه نفوذ، و ابزارهاي مورد استفاده آنها داشته باشيد. براي به دست آوردن اين نوع داده ها، شما احتياج به Honeypot هاي با تعامل بالا داريد.
استفاده از Honeypot ها براي مقاصد تحقيقاتي
همانطور كه پيش از اين اشاره شد، Honeypot ها ميتوانند براي مقاصد تحقيقاتي نيز مورد استفاده قرار گيرند. به اين ترتيب اطلاعات ارزشمندي در مورد تهديدات به دست مي آيد كه تكنولوژيهاي ديگر كمتر قادر به جمع آوري آن هستند. يكي از بزرگترين مشكلات متخصصان امنيت، كمبود اطلاعات يا آگاهي در مورد حملات مجازي است. زماني كه شما دشمن را نميشناسيد، چگونه ميخواهيد در برابر او ديوار دفاعي تشكيل دهيد؟ Honeypot هاي تحقيقاتي اين مشكل را با جمع آوري اطلاعاتي در مورد تهديدات حل ميكنند. سپس سازمانها ميتوانند از اين اطلاعات براي مقاصد مختلفي مانند تحليل، شناسايي ابزارها و روشهاي جديد، شناسايي مهاجمان و جوامع آنها، هشدارهاي اوليه و جلوگيري، و يا درك انگيزه هاي مهاجمان استفاده كنند.
اكنون شما بايد درك بهتري از چيستي Honeypot ها، نحوه استفاده از آنها، تواناييها و مزايا و معايب آنها به دست آورده باشيد.
مقالات مرتبط:
Honeypot چيست؟
انواع Honeypot
- 6