ورود مشتریان
پیش از این در دو مقاله به معرفی Honeypot( هانی پات) ها ، مزایا و معایب این سیستمهای امنیتی، و انواع آنها پرداختیم. در این مقاله قصد داریم کاربردهای Honeypot( هانی پات) ها را به شما معرفی کنیم.
پیش از این در دو مقاله به معرفی Honeypot ( هانی پات)ها ، مزایا و معایب این سیستمهای امنیتی، و انواع Honeypot ( هانی پات)ها پرداختیم. در این مقاله قصد داریم کاربردهای Honeypot( هانی پات)ها را به شما معرفی کنیم. Honeypot( هانی پات)ها با تعامل زیاد اکنون شما می دانید که Honeypot ( هانی پات)ها ابزارهایی بسیار انعطاف پذیرند که می توانند برای اهداف مختلفی مورد استفاده قرار گیرند. شما می توانید از آنها به عنوان ابزارهایی در انبار مهمات امنیتی خود به هر نحوی که مناسب نیازهای شماست استفاده کنید. به طور کلی می توان Honeypot( هانی پات) ها را از لحاظ ارزش کاربردی در دو دسته «تجاری» و «تحقیقاتی» دسته بندی کرد. معمولا Honeypot( هانی پات) های با تعامل کم برای اهداف تجاری مورد استفاده قرار می گیرند، درحالیکه Honeypot( هانی پات) های با تعامل زیاد برای مقاصد تحقیقاتی استفاده می شوند. به هر حال هر یک از انواع Honeypot( هانی پات)می توانند برای هر یک از اهداف فوق مورد استفاده قرار گیرند و هیچ یک از این اهداف، برتر از دیگری نیستند. زمانی که Honeypot( هانی پات)ها برای اهداف تجاری مورد استفاده قرار می گیرند، می توانند از سازمانها به سه روش محافظت نمایند: جلوگیری از حملات، تشخیص حملات، و پاسخگویی به حملات. اما زمانی که برای اهداف تحقیقاتی مورد استفاده قرار می گیرند، اطلاعات را جمع آوری می کنند. این اطلاعات ارزش های مختلفی برای سازمانهای گوناگون دارند. برخی سازمانها ممکن است بخواهند راهکارهای مهاجم را مطالعه کنند، در حالیکه ممکن است برخی دیگر به هشدارها و پیشگیری های زودهنگام علاقه مند باشند جلوگیری از حملات Honeypot( هانی پات)ها می توانند به روشهای مختلف از بروز حملات جلوگیری کنند. برای مثال Honeypot( هانی پات) ها می توانند ازحملات خودکار مانند حملاتی که به وسیله کرمها آغازمی شوند پیشگیری نمایند. این حملات مبتنی بر ابزارهایی هستند که به صورت تصادفی کل شبکه را اسکن کرده و به دنبال سیستمهای آسیب پذیرمی گردند. اگر این سیستمها پیدا شوند، این ابزارهای خودکار به آن سیستم حمله کرده و کنترل آن را به دست می گیرند. Honeypot( هانی پات) ها با کند کردن پروسه اسکن و حتی توقف آن به دفاع در برابر چنین حملاتی کمک می کنند. این Honeypot( هانی پات) ها که به نام "Honeypot ( هانی پات)های چسبناک" معروفند، فضای IP بدون استفاده را کنترل می کنند. زمانی که این Honeypot ( هانی پات)ها با یک فعالیت اسکن روبرو می شوند، شروع به تعامل کرده و سرعت کار مهاجم را کند می کنند. آنها این کار را با انواع مختلف ترفندهای TCP مانند استفاده از پنجره با اندازه صفرانجام می دهند. یک مثال از "Honeypot ( هانی پات) های چسبناک" La Brea Tar pit است. Honeypot( هانی پات)های چسبناک معمولا از دسته با تعامل کم هستند. حتی می توان آنها را Honeypot( هانی پات) بدون تعامل دانست، چرا که مهاجم را کند و متوقف می سازند. شما می توانید با استفاده از Honeypot( هانی پات)ها از شبکه خود در برابر حملات انسانی غیر خودکار نیز محافظت نمایید. این ایده مبتنی بر فریب یا تهدید است. در این روش شما مهاجمان را گیج کرده و زمان و منابع آنها را تلف می کنید. به طور همزمان سازمان شما قادر است که فعالیت مهاجم را تشخیص داده و در نتیجه برای پاسخگویی و متوقف کردن آن فعالیت زمان کافی در اختیار دارد. این موضوع حتی می تواند یک گام نیز فراتر رود. اگر مهاجمان بدانند که سازمان شما از Honeypot( هانی پات) استفاده می کند ولی ندانند که کدام سیستمها Honeypot( هانی پات) هستند، ممکن است به طور کلی از حمله کردن به شبکه شما صرفنظر کنند. در این صورت Honeypot( هانی پات) یک عامل تهدید برای مهاجمان به شمار رفته است. یک نمونه از Honeypot( هانی پات)هایی که برای این کار طراحی شده اند، Deception Toolkit است. تشخیص حملات یک راه دیگر که Honeypot( هانی پات)ها با استفاده از آن از سازمان شما محافظت می کنند، تشخیص حملات است. از آنجایی که تشخیص، یک اشکال و یا نقص امنیتی رامشخص می کند، حائز اهمیت است. صرفنظر از این که یک سازمان تا چه اندازه امن باشد، همواره اشکالات و نقایص امنیتی وجود دارند. چرا که حداقل نیروی انسانی در پروسه امنیت درگیرند و خطاهای انسانی همیشه دردسر سازند. با تشخیص حملات، شما می توانید به سرعت به آنها دسترسی پیدا کرده، و خرابی آنها را متوقف ساخته یا کم نمایید. ثابت شده است که تشخیص کار بسیار سختی است. تکنولوژیهایی مانند سنسورهای سیستم تشخیص نفوذ و لاگهای سیستمها، به دلایل مختلف چندان موثر نیستند. این تکنولوژیها داده های بسیار زیادی تولید کرده و درصد خطای تشخیص مثبت نادرست آن بسیار بالاست. همچنین این تکنولوژیها قادر به تشخیص حملات جدید نیستند و نمی توانند در محیطهای رمز شده یا IPv6 کار کنند. به طور معمول Honeypot( هانی پات)های با تعامل کم، بهترین راه حل برای تشخیص هستند. چرا که به کار گرفتن و نگهداری این Honeypot( هانی پات) ها ساده تر بوده و در مقایسه با Honeypot( هانی پات) های با تعامل بالا، ریسک کمتری دارند. پاسخگویی به حملات Honeypot( هانی پات) ها با پاسخگویی به حملات نیز می توانند به سازمانها کمک کنند. زمانی که یک سازمان یک مشکل امنیتی را تشخیص می دهد، چگونه باید به آن پاسخ دهد؟ این مساله معمولا می تواند یکی از چالش برانگیزترین مسائل یک سازمان باشد. معمولا اطلاعات کمی درباره اینکه مهاجمان چه کسانی هستند، چگونه به آنجا آمده اند، و یا اینکه چقدر تخریب ایجاد کرده اند وجود دارد. در این شرایط، داشتن اطلاعات دقیق در مورد فعالیت های مهاجمان بسیار حیاتی است. دو مساله با پاسخگویی به رویداد آمیخته شده است. اول اینکه بسیاری از سیستم هایی که معمولا مورد سوء استفاده قرار می گیرند نمی توانند برای تحلیل شدن از شبکه خارج گردند. سیستم های تجاری، مانند میل سرور یک سازمان، به حدی مهم هستند که حتی اگر این سیستم هک شود، ممکن است متخصصان امنیت نتوانند سیستم را از شبکه خارج کنند و برای تحلیل آن بحث نمایند. به جای این کار، آنها مجبورند به تحلیل سیستم زنده در حالی که هنوز سرویسهای تجاری را ارائه می کند، بپردازند. این موضوع باعث می شود که تحلیل اتفاقی که رخ داده، میزان خسارت به بار آمده، و تشخیص نفوذ مهاجم به سیستم های دیگر سخت باشد. مشکل دیگر این است که حتی اگر سیستم از شبکه خارج گردد، به حدی آلودگی داده وجود دارد که تشخیص اینکه فرد مهاجم چه کاری انجام داده است بسیار سخت است. منظور از آلودگی داده، داده های بسیار زیاد در مورد فعالیت های گوناگون (مانند ورود کاربران، خواندن حسابهای ایمیل، فایلهای نوشته شده در پایگاه داده، و مسائلی از این قبیل) است که باعث می شود تشخیص فعالیت های معمول روزانه از فعالیتهای فرد مهاجم سخت باشد. Honeypot( هانی پات)ها برای هر دوی این مشکلات راه حل دارند. آنها می توانند به سرعت و سهولت از شبکه خارج گردند تا یک تحلیل کامل بدون تاثیر بر کارهای روزانه انجام گیرد. همچنین از آنجایی که این سیستم ها فقط فعالیت های خرابکارانه یا تایید نشده را ثبت می کنند، کار تحلیل بسیار ساده تر خواهد بود و داده های بسیار کمتری باید بررسی شوند. ارزش Honeypot( هانی پات) ها به این است که آنها قادرند به سرعت اطلاعات عمیق و پرفایده را دراختیار سازمان قرار دهند تا بتواند به یک رویداد پاسخ دهد. Honeypot( هانی پات) های با تعامل بالا بهترین گزینه برای پاسخگویی است. برای پاسخگویی به نفوذگران، شما باید دانش عمیقی در مورد کاری که آنها انجام داده اند، شیوه نفوذ، و ابزارهای مورد استفاده آنها داشته باشید. برای به دست آوردن این نوع داده ها، شما احتیاج به Honeypot( هانی پات)های با تعامل بالا دارید. استفاده از Honeypot( هانی پات) ها برای مقاصد تحقیقاتی همانطور که پیش از این اشاره شد، Honeypot( هانی پات) ها می توانند برای مقاصد تحقیقاتی نیز مورد استفاده قرار گیرند. به این ترتیب اطلاعات ارزشمندی در مورد تهدیدات به دست می آید که تکنولوژیهای دیگر کمتر قادر به جمع آوری آن هستند. یکی از بزرگترین مشکلات متخصصان امنیت، کمبود اطلاعات یا آگاهی در مورد حملات مجازی است. زمانی که شما دشمن را نمی شناسید، چگونه می خواهید در برابراو دیوار دفاعی تشکیل دهید؟ Honeypot( هانی پات) های تحقیقاتی این مشکل را با جمع آوری اطلاعاتی در مورد تهدیدات حل می کنند. سپس سازمانها می توانند از این اطلاعات برای مقاصد مختلفی مانند تحلیل، شناسایی ابزارها و روشهای جدید، شناسایی مهاجمان و جوامع آنها، هشدارهای اولیه و جلوگیری، و یا درک انگیزه های مهاجمان استفاده کنند.