هانی‌ پات (Honeypot) چیست؟

هانی پات

Honeypot یا هانی پات، سیستمی است که برای فریب هکرها و نفوذگران طراحی شده تا منشأ و تکنیک های آن‌ها را آشکار کند. Honeypot ها توسط محققان امنیتی و فناوری اطلاعات سازمانی به طور یکسان استفاده می‌شوند. در حقیقت، Honeypot یک مکانیزم امنیتی و دفاعی است که یک دام مجازی برای فریب مهاجمان و هکرها ایجاد می‌کند. یک سیستم رایانه‌ای آسیب پذیر، به صورت عمدی به مهاجمان اجازه سوء استفاده از آسیب پذیری‌ها را می‌دهد، بنابراین با مطالعه رفتار آن‌ها، می‌توان سیاست‌های امنیتی سازمان را بهبود بخشید.

Honeypot، نوعی تکنولوژی فریب دادن است که به شما امکان درک الگوهای رفتاری مهاجم را می‌دهد. تیم های امنیتی می توانند برای بررسی نقض امنیت سایبری، از هانی پات‌ها استفاده کنند تا از نحوه عملکرد مجرمان سایبری آگاه شوند. هانی پات‌ها همچنین در مقایسه با اقدامات سنتی امنیت سایبری، احتمال False-Positive را کاهش می‌دهند، زیرا هدف از فعالیت هانی پات، شناسایی اقدامات غیرقانونی است و بعید است کسی که با این سیستم ارتباط برقرار کرده، فردی قانونمند باشد. Honeypot ها بر اساس مدل های طراحی و استقرار متفاوت هستند، اما همه آنها طعمه‌هایی هستند که به نظر می‌رسد مانند سیستم‌های آسیب پذیر و قانونی برای جذب مجرمان سایبری به کار گرفته می‌شوند.

انواع Honeypot

به طور کلی، Honeypot ها به دو دسته کلی تقسیم می‌شوند:

  • هانی پات‌های محصولی (تجاری): به عنوان بخشی از سیستم‌های شناسایی نفوذ (IDS) و به منظور شناسایی فعالیت‌های مخرب، در داخل شبکه‌ها و سرورها راه اندازی و مستقر می‌شوند. آن‌ها ضمن تجزیه و تحلیل فعالیت‌های مخرب برای کمک به کاهش آسیب پذیری‌ها، توجه مجرمان را از سیستم واقعی منحرف می‌کنند.
  • هانی پات‌های تحقیقاتی: این نوع هانی پات‌ها برای اهداف آموزشی و تقویت امنیت مورد استفاده قرار می‌گیرند. همچنین این نوع حاوی اطلاعاتی هستند که کارشناسان از آنها برای ردیابی حملات و همچنین طرح نقشه‌های نفوذ استفاده می‌کنند.

انواع استقرار هانی پات‌ها

۳ نوع استقرار Honeypot ها وجود دارد که فعالیت‌های نفوذگران مخرب را در سطوح مختلف بررسی و نظارت می کند:

  • Pure Honeypots

این نوع از هانی پات‌ها، در حقیقت یک سرور فیزیکی هستند که به گونه‌ای تنظیم شده اند که می‌توانند مهاجمان سایبری را فریب دهند. در این نوع نرم افزار مانیتورینگ ویژه ای وجود دارد که ارتباط بین هانی پات و بقیه شبکه را نظارت می کند. از آنجا که این نوع از هانی پات، ماشین‌های واقعی و تمام عیار هستند، هدف واقع گرایانه ای را برای مهاجمان ایجاد می‌کنند اما این خطر نیز وجود دارد که مهاجمان بتوانند از آنها به عنوان سکویی برای انجام حملات بعدی استفاده کنند. لازم به ذکر است که این نوع هانی پات ها نیاز به پیکربندی‌های تخصصی‌تری دارند.

  • Low-Interaction Honeypots (هانی پات های با تعامل پایین)

یک هانی پات با تعامل پایین، یک ماشین شبیه سازی شده است که فقط مجموعه محدودی از خدمات را ارائه می‌دهد که متداول ترین وکتورهای حمله و یا بردارهای حمله ای که تیم ساخت هانی پات به آن علاقه مند است، اجرا می‌شود. مانند شبیه سازی یک سیستم عامل مانند XP

  • High-Interaction Honeypots (هانی پات های با تعامل بالا)

مجموعه‌های پیچیده‌ای که مانند زیرساخت‌های واقعی رفتار می‌کنند اما بر روی بسترهای مجازی قرار دارند. این نوع از هانی پات ها سطح فعالیت های مجرمان سایبری را محدود نمی کنند و بینش گسترده ای در مورد امنیت سایبری ارائه می دهند. با این حال این نوع از Honeypot ها نیاز به پشتیبانی، نگهداری و مراقبت بیشتری دارند. درحقیقت در این نوع، آسیب پذیری‌ها به صورت واقعی به وجود می آیند.

چرا باید از Honeypot استفاده کنیم؟

قبل از اینکه بدانیم چرا یک Honeypot نباید تنها راه حل امنیتی سازمان شما باشد، بیایید چند دلیل را برررسی کنیم که هانی پات‌ها یک اقدام امنیتی بسیار مؤثر در فناوری اطلاعات هستند، به ویژه برای کسب اطلاعات بیشتر در مورد این که چه کسی در محیط شما کمین کرده و احتمال دارد هدف خرابکارانه‌ای داشته باشد.

شما با استفاده از یک Honeypot می توانید در مورد نحوه ورود مهاجم به سیستم اطلاعات کسب کنید، از کجا (به عنوان مثال، آدرس های IP جایی که اطلاعات دزدیده شده به کجا می رود و از کجاست)، چه چیزی حذف شده یا اضافه می شود (به عنوان مثال، مهاجم امتیازات خود را بالا می برد تا تبدیل به ادمین شود)، کلیدهای شخصی در حال تایپ کردن و آنچه از بدافزارها استفاده می شود (به عنوان مثال، یک تروجان یا rootkit به سیستم اضافه شده است).

خب، حالا دلایل اصلی را باهم بررسی می کنیم:

  • ایجاد هشدارهایی که ارزش تحقیق دارند:

همانطور که می دانید، واحد IT اغلب با هزاران هشدار در روز بمباران می‌شود و تفاوت بین خطرات و تهدیدات سطح بالا و پایین وجود ندارد. در حالی که هانی پات ها فقط چند صد واقعه را ثبت می کنند، مدیریت سریع تر، تجزیه و تحلیل و عمل سریع‌تر آن را برای IT آسان می کنند و سپس نفوذگران را قبل از آسیب بیشتر، شناسایی و مسدود می‌کنند. شاید بالاترین مزین در این امر این موضوع باشد که وقتی صحبت از هانی پات های می شود، باید False Positive را کنار گذاشت.

  • جایگزین مناسب برای جلوگیری از باج افزارها:

اگر سیستم نظارت خودکار بر روی فایل‌ها ندارید، در عوض می‌توانید از یک هانی پات با فایل‌ها و پوشه‌های جعلی ایجاد کنید و سپس به طور مرتب آن‌ها را مانیتور کنید، با همین استراتژی می‌توانید با نظارت بر فایل‌ها و پوشه‌ها، روشی برای جلوگیری از باج افزارها ایجاد کنید.

  • تهدیدهای داخلی را تشخیص دهید:

معمولاً فرض بر این است که هرگونه تعامل با یک هانی پات، نشان دهنده این است که فرد تعامل کننده یک هکر به حساب می آید. در حقیقت دلیلی وجود ندارد که یک شخص عادی با یک هانی پات در تعامل و ارتباط باشد مگر اینکه قصد و نیتی وجود داشته باشد. بسته به تنظیمات اعمال شده، نباید کارمندان سازمان شما از وجود این هانی پات با خبر باشند و به همین دلیل، هرگونه تعامل داخلی با هانی پات یک هشدار به حساب می آید.

  • اطلاعات رمزگشایی شده:

سازمان‌ها شروع به رمزگذاری داده های خود می‌کنند. این مورد به عنوان بهترین روش و برای بعضی سازمان‌ها، یک الزام است که پیشنهاد می‌شود حتما آن را رعایت کنند. اما این‌گونه فناوری‌ها که اطلاعات ما را رمزگذاری می‌کنند نمی‌توانند بگویند چه اتفاقی در شبکه‌های ما می‌افتد.

محدویت‌های Honeypot

امنیت Honeypot محدودیت های خود را دارد، زیرا آنها نمی توانند نقض امنیتی موجود در سیستم های قانونی را تشخیص دهند و همیشه حمله کننده را شناسایی نمی‌کنند. همچنین این خطر وجود دارد که مهاجم پس از اکسپلویت موفق از هانی پات بهعنوان سکویی استفاده کند تا به صورت واقعی شبکه را مورد نفوذ قرار دهد. به منظور جلوگیری از این امر، باید اطمینان حاصل شود که هانی پات به درستی از شبکه واقعی ایزوله شده است. بهترین پیشنهاد این است که برای مقیاس کردن عملیات های امنیتی خود، می‌توانید هانی پات ها را با سایر تکنیک های امنیتی ترکیب کنید.

انواع مختلف از فناوری‌های Honeypot

چندین تکنولوژی هانی پات در حال استفاده وجود دارد که شامل موارد زیر می‌شود:

Malware Honeypots

این نوع از هانی پات‌ها از بردارهای معروف حملات و تکثیر، برای شناسایی بدافزارها استفاده می کنند. به عنوان مثال، هانی پات‌ها (بعنوان مثال Ghost) برای شبیه سازی به عنوان یک وسیله ذخیره سازی USB ساخته شده‌اند. در این حالت اگر ماشینی به بدافزارهایی که از طریق USB پخش می شوند آلوده شده باشد، Honeypot بد افزار را برای آلوده کردن دستگاه شبیه سازی فریب می‌دهد.

Spam Honeypots

این نوع از هانی پات‌ها برای رله های باز ایمیل و پروکسی ها استفاده می‌شوند. اسپمرها با ارسال ایمیل برای اولین بار رله باز ایمیل را آزمایش می کنند، اگر موفق شوند مقدار زیادی اسپم ارسال می کنند. این نوع هانی پات‌ها می‌توانند این تست را تشخیص داده و حجم انبوه اسپم‌ها را با موفقیت مسدود کنند.

Datavase Honeypots

بعضی مواقع فعالیت‌های مانند SQL Injection توسط فایروال‌ها تشخیص و مسدود نمی‌شوند، بنابراین برخی از سازمان ها از یک فایروال دیتابیس استفاده می‌کنند که می‌توانند با ترکیب این فناوری با هانی پات‌های دیتابیس، نظارت بیشتری ایجاد کنند.

Client Honeypots

بیشتر Honeypot ها سرورهایی هستند که به دنبال اتصالات مشکوک هستند. هانی پات های کلاینت به طور فعال به دنبال سرورهای مخربی هستند که به کلاینت‌های شبکه حمله می کنند و بر روی تغییرات مشکوک و غیرمنتظره در هانی پات نظارت می‌کنند. این سیستم‌ها به طور کلی بر روی فناوری مجازی سازی کار می‌کنند و یک استراتژی مهار برای به حداقل رساندن ریسک برای تیم تحقیقاتی دارند.

Honeynets

به جای این که یک سیستم واحد باشد، یک هانی پات شبکه‌ای است که می‌تواند از چندین هانی پات تشکیل شود. Honeynet ها با هدف ردیابی استراتژیک روش‌ها و انگیزه‌های یک مهاجم طراحی شده‌اند.

در لینک زیر می‌توانید لیست کاملی از ابزارهای Honeypot ها را مشاهده و استفاده کنید:

https://github.com/paralax/awesome-honeypots

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.