یکی از تعاریف Honeypot از دنیای جاسوسی نشات گرفته است؛ جایی که جاسوسان به سبک Mata Hari از روابط عاشقانه به عنوان راهی برای سرقت اسرار استفاده میکنند، که به عنوان “دام عسل” توصیف میشود.
اغلب یک جاسوس به عنوان دشمن توسط “عسل” به دام میافتد و برای تمام چیزهایی که میداند، از او باج خواهی میشود.
در حوزه امنیت کامپیوترها، یک cyber honeypot نیز عملکرد مشابهی دارد، و طعمهای برای هکرها در نظر گرفته میشود. یک سیستم کامپیوتر قربانی که قصد دارد حملات سایبری را مانند طعمه به خود جلب کند.
در این روش از هکرها تقلید میشود و از تلاشهای نفوذ خود جهت دستیابی به اطلاعاتی در مورد مجرمان سایبری و نحوه عملکرد آنها و یا دور کردن آنها از اهداف دیگر استفاده میکند.
نحوه عملکرد Honeypot چگونه است؟
Honeypot دقیقا مانند یک سیستم کامپیوتری واقعی است به همراه برنامه و دادهها، فریب دادن مجرمان سایبری با این فکر که آیا این یک هدف قانونی است؟
به عنوان مثال یک Honeypot میتواند از سیستم صدور صورتحساب مشتری یک شرکت تقلید کند و حملات به صورت متعدد به مجرمانی که میخواهند شمارههای کارت اعتباری را پیدا کنند، انجام میشود. پس از ورود هکرها میتوان آنها را ردیابی کرد و رفتار آنها را برای سرنخهایی در مورد چگونگی ایمنسازی شبکه واقعی ارزیابی نمود.
Honeypot با ایجاد آسیبپذیریهای امنیتی به صورت عمدی، برای مهاجمین بسیار جذاب میباشد. به عنوان مثال، یک Honeypot ممکن است دارای پورتهایی باشد که به اسکن پورتهای ضعیف یا پسوردهای ضعیف، پاسخ میدهد. پورتهای آسیبپذیر ممکن است جهت ایجاد جذابیت برای مهاجمین در محیط Honeypot باز گذاشته شوند.
به طور معمول یک Honeypot برای رفع مشکلات خاصی مانند یک فایروال یا آنتی ویروس تنظیم نشدهاند. در عوض میتوان گفت یک ابزار اطلاعاتی است که میتواند در درک تهدیدات موجود به کسبوکارها کمک کند و ظهور تهدیدات جدید را تشخیص دهد.
میتوان با استفاده از اطلاعات به دست آمده از Honeypot ، بر تلاشهای امنیتی تمرکز نمود و آنها را در اولویت قرار داد.
انواع Honeypot و نحوه عملکرد آنها
برای شناسایی انواع مختلف تهدیدات، میتوان انواع مختلفی Honeypot را مورد استفاده قرار داد. تعاریف مختلف Honeypot مبتنی بر نوع تهدیدی است که به آن پرداخته شده است. همه آنها در یک استراتژی کامل و موثر در زمینه امنیت سایبری، جای دارند.
- Email Traps تلههای ایمیل یا تلههای اسپم، یک آدرس ایمیل جعلی را در مکانی پنهان قرار میدهند که تنها رباتهایی که به صورت خودکار آدرس را پیدا میکنند، قادر به یافتن آن میباشند.
از آنجا که این آدرس فقط به منظور دام استفاده میشود و هیچ کاربرد دیگری ندارد، 100% این اطمینان وجود دارد که هر نامهای که به آن آدرس ارسال شود، چیزی جز اسپم نیست. تمامی پیغامهایی که حاوی همان مطالب ارسال شده به آدرس مورد نظر میباشند، به طور خوکار مسدود میگردند و IP ارسال کننده آن نیز به blacklist افزوده میشود.
- decoy database که جهت نظارت بر آسیبپذیریها نرم افزار، حملات ناشی از ساختار سیستمهای ناامن، استفاده از SQL injection، بهرهبرداری از خدمات SQL یا سوء استفاده از امتیازات، ایجاد شده است.
- malware honeypot به منظور جذب حملات بدافزاری از اپهای نرم افزاری و API تقلید میکند. سپس ویژگیهای بدافزار را میتوان جهت تهیه ضد بدافزارها یا از بین بردن آسیبپذیریها در API، تجزیه و تحلیل نمود.
- spider honeypot اقدام به ایجاد صفحات وب و لینکهایی که فقط برای crawlerها در دسترس است، میپردازد. شناسایی خزندهها (crawler) میتواند در یادگیری نحوه مسدود نمودن رباتهای مخرب و همچنین خزندههای ad-network کمک شایانی کند.
با نظارت بر ترافیک ورودی به سیستم Honeypot میتوان موارد زیر را ارزیابی نمود:
- مجرمان سایبری از کجا حمله میکنند.
- سطح تهدید
- از چه modus operandi استفاده میکنند.
- به چه دادهها و یا برنامههایی علاقمند هستند.
- اقدامات امنیتی تا چه حد قادر به متوقف کردن حملات سایبری میباشند.
یکی دیگر از تعاریف Honeypot به بررسی تعامل زیاد و یا تعامل کم آن میپردازد.
Honeypot با تعامل کم از منابع کمتری استفاده میکند و گروهی از اطلاعات اولیه را در مورد سطح و نوع تهدید و منشا آن، جمع آوری میکند. تنظیم و پیادهسازی آن سریع و ساده میباشد، معمولا با برخی پروتکلهای TCP و IP و خدمات شبکه، سازگار هستند.
قابل ذکر است هیچ چیزی در Honeypot وجود ندارد که بتواند مهاجم را برای مدت طولانی درگیر نماید، بنابراین نمیتوان اطلاعات دقیقتر و عمیقتری در مورد عادات آنها و یا تهدیدات پیچیده کسب نمود.
از طرف دیگر، هدف Honeypot های دارای تعامل زیاد، واداشتن هکرها به سپری کردن زمان هرچه بیشتر در Honeypot میباشد تا بتوانند اطلاعات بیشتری در مورد قصد و نیت و همچنین هدف آنها به دست آورند و بدانند مهاجمان با چه آسیبپذیریهایی، قصد سوء استفاده دارند و modus operandi آنها چیست.
درگیر کردن مهاجمان برای مدت زمان طولانیتر، این امکان را در اختیار محققان قرار میدهد تا بتوانند مهاجمان را در سیستم ردیابی کنند و بدانند جهت دستیابی به اطلاعات مهم، به کدام قسمت سیستم وارد میشوند، و برای سوء استفاده از سیستم، چه کاری انجام میدهند.
در ضمن میتوان گفت تنظیم و پیادهسازی Honeypotهای دارای تعامل زیاد، مشکل و وقت گیر است؛ علاوه بر آن، در صورتی که توسط honeywall پشتیبانی نشود، ممکن است خطرآفرین نیز باشند. یک هکر مصمم و حرفهای میتواند با استفاده از یک Honeypot دارای تعامل بالا، به سایر هاستهای اینترنت حمله کند یا اسپمی را به دستگاههای در معرض خطر ارسال کند.
هر دو نوع Honeypot گفته شده، در امنیت سایبری جای دارند. با استفاده از ترکیبی از هر دو نوع، میتوان با افزودن دادههایی در مورد اهداف، ارتباطات و سوءاستفادههای انجام شده از Honeypot دارای تعامل بالا، اطلاعاتی را در مورد نوع تهدیدات ناشی از Honeypot های دارای تعامل پایین به دست آورد.
با ایجاد یک چارچوب اطلاعاتی از تهدیدات، صاحبان مشاغل میتوانند در مورد امنیت سایبری خود در مکانهای درست اطمینان خاطر داشته باشند، و همچنین نقاط ضعف خود را شناسایی کنند.
مزایای استفاده از Honeypot
هانی پات ها میتوانند یک روش مناسب جهت در معرض قرار دادن سیستمهای بزرگ باشند. به عنوان مثال، یک Honeypot میتواند تهدیدات سطح بالایی که توسط دستگاههای IOT ایجاد شده را نشان دهند. در ضمن میتوانند روشهایی را جهت بهبود امنیت نیز، ارائه دهند.
استفاده از Honeypot مزایای زیادی در مقابل تلاشهای هکران جهت نفوذ به سیستم دارد. به عنوان مثال، یک هانی پات نباید براساس تعاریف ارائه شده، دارای ترافیک مجاز باشد، بنابراین، هر فعالیتی را به عنوان نفوذ به سیستم، شناسایی میکند.
در واقع مزیت بزرگ استفاده از Honeypot این است که ممکن است شما فقط قادر به دیدن این آدرسهای مخرب باشید، بنابراین شناسایی حملات، بسیار سادهتر خواهد شد.
یکی دیگر از مزایای Honeypot این است که نیاز به سخت افزارهای زیادی ندارد، به طوری که میتوان حتی از کامپیوترهای قدیمی که دیگر از آنها استفاده نمیشود، برای این منظور به کار گرفته شود. در مورد نرم افزار آن نیز میتوان گفت، Honeypot های آماده و به صورت آنلاین در دسترس میباشند.
مثبت کاذب Honeypot، نرخ پایینی دارد، درست بر خلاف IDS یا intrusion- detection system که سطح بالایی از هشدارهای کاذب را ایجاد مینماید. این موضوع به اولویتبندی تلاشها جهت نفوذ کمک میکند و درخواست منابع از یک هانی پات را در سطح پایینی نگه میدارد.
در حقیقت با استفاده از دادههای جمع آوری شده توسط Honeypot و مرتبط ساختن آن با سایر سیستمها و ورود به فایروال، میتوان تنظیمات IDS را طوری انجام داد تعداد مثبت کاذب آن کمتر شود. به این ترتیب Honeypot میتواند به بهبود و اصلاح سایر سیستمهای امنیتی سایبری کمک کند.
Honeypot قادر است اطلاعات موثق و قابل اعتمادی را در مورد چگونگی تکامل تهدیدها، ارائه دهد. در واقع میتوانند اطلاعاتی در مورد بردارهای حملات، سوءاستفادهها و بدافزارها فراهم کنند و با استفاده از email trap خود نیز، اطلاعاتی در مورد اسپمرها و حملات فیشینگ ارائه مینماید.
از طرف دیگر هکرها نیز به طور مداوم در حال تغییر و اصلاح تکنیکهای خود در مورد نفوذ میباشند. یک هانی پات سایبری به شما کمک میکند تا تهدیدات و نفوذهای در حال ظهور را شناسایی نمایید. نکته قابل تامل اینجاست که میتوان با استفاده درست و بجا از Honeypot ، نقاط کور را نیز ریشهکن نمود.
هانی پات یک ابزار عالی برای آموزش کارکنان امنیت محسوب میشود. در اصل یک محیط ایمن و تحت کنترل را برای به نمایش گذاشتن چگونگی عملکرد هکرها و بررسی انواع مختلفی از تهدیدات ارائه میدهد. تیم امنیتی با کمک Honeypot از ترافیک واقعی منحرف نمیشوند و قادر به تمرکز صددرصدی بر روی تهدیدات خواهند بود.
هانی پات ها قادر به شناسایی تهدیدات داخلی نیز میباشد. اکثر سازمانها، زمان زیادی را جهت ایجاد امنیت در برابر تهدیدات خارجی مینمایند و به این اطمینان میرسند که مهاجمان و هکرها از خارج از سازمان نمیتوانند وارد آن شوند. اما در این حالت هم ممکن است، هکری که موفق به عبور از فایروال شده، بتواند هر آسیبی را وارد کند.
به طور کلی میتوان گفت فایروالها، هیچ کمکی در مورد تهدیدات داخلی نمیکنند. دقیقا مانند کارمندی که قصد سرقت فایلها را قبل از ترک محل کار خود دارد. اما هانی پات قادر است اطلاعات خوبی را در مورد تهدیدات داخلی و نمایش آسیبپذیریها در چنین محیطهایی که امکان سوء استفاده از داخل وجود دارد، ارائه کند.
در آخر میتوان گفت با تنظیم یک هانی پات، میتوان به کاربران سایر سیستم نیز کمک نمود. هرچه زمان صرف شده در یک هانی پات توسط هکر بیشتر شود، شانس و زمان کمتری برای هک سیستمهای شما و دیگران وجود خواهد داشت.
معایب استفاده از Honeypot
با آگاهی از این واقعیت که هانی پات در ترسیم فضای تهدیدات، کمک بزرگی مینماید، اما باید بگوییم هانی پات ها قادر به مشاهده همه جزییات و هر آنچه که در جریان است، نیستند، به جز فعالیتهایی که مستقیما به هانی پات وارد میشوند.
به عبارتی تنها به این دلیل که هیچ تهدیدی بر علیه Honeypot وارد نشده، به این معنی نیست که هیچ چیزی وجود ندارد. این موضوع حائز اهمیت است که با اخبار امنیت IT همراه باشید و برای اطلاع از تهدیدات به هانی پات متکی نباشید.
یک هانی پات خوب که به درستی تنظیم شده، مهاجمان را فریب خواهد داد، و آنها را به این باور میرساند که واقعا به یک سیستم واقعی دسترسی خواهند داشت. با این حال اگر یک هکر بتواند هانی پات را شناسایی کند، پس از آن میتواند به سیستمهای دیگر شما حمله کند، درحالیکه Honeypot شما دست نخورده باقی مانده است.
در ضمن هکری که قادر به شناسایی هانی پات شده است، میتواند تعدادی حملات جعلی ایجاد کند تا با منحرف کردن شما، فرصت کافی برای حمله به هدف مورد نظر داشته باشد. حتی میتوانند اطلاعات غلط به هانی پات وارد کنند.
بدتر از آن، یک مهاجم هوشمند میتواند از هانی پات به عنوان راهی برای نفوذ به سیستم شما استفاده کند. دقیقا به همین دلیل است که هانی پات ها هرگز نمیتوانند جایگزین مناسبی برای تجهیزات امنیتی مانند فایروالها و سایر سیستمهای تشخیص نفوذ باشند.
از آنجا که یک هانی پات میتواند مانند یک سکوی پرتاب برای نفوذ بیشتر، عمل کند، حتما باید این اطمینان وجود داشته باشد که هانی پات ها به خوبی ایمن هستند. یک honeywall میتواند امنیت اساسی هانی پات را برقرار کند و حملات مستقیم به هانی پات را متوقف کند.
نتیجه گیری
به طور کلی میتوان گفت مزایای استفاده از Honeypot بیشتر از معایب آن است. تصور میشود هکرها یک قدرت نامریی و یک تهدید دور هستند، اما با استفاده از هانی پات میتوانید هر آنچه را که انجام میدهند در لحظه مشاهده نمایید و همچنین از اطلاعات به دست آمده جهت متوقف ساختن قصد و نیت آنها استفاده کنید.