کاربردهای هانی پات ها
کاربردهای هانی پات

هانی پات ها می­توانند از سازمانها به سه روش محافظت نمایند: جلوگیری از حملات، تشخیص حملات، و پاسخگویی به حملات

کاربردهایهانی پاتها

 

پیش از این در دو مقاله به معرفی Honeypot ها، مزایا و معایب این سیستمهای امنیتی، و انواع آنها پرداختیم. در این مقاله قصد داریم کاربردهای Honeypot ها را به شما معرفی کنیم.

هانی پات های با تعامل زیاد

اکنون شما می­دانید که Honeypot ها ابزارهایی بسیار انعطاف پذیرند که می­توانند برای اهداف مختلفی مورد استفاده قرار گیرند. شما می­توانید از آنها به عنوان ابزارهایی در انبار مهمات امنیتی خود به هر نحوی که مناسب نیازهای شماست استفاده کنید. به طور کلی می­توان Honeypot ها را از لحاظ ارزش کاربردی در دو دسته «تجاری» و«تحقیقاتی» دسته بندی کرد. معمولا Honeypot های با تعامل کم برای اهداف تجاری مورد استفاده قرار می­گیرند، درحالیکه Honeypot  های با تعامل زیاد برای مقاصد تحقیقاتی استفاده می­شوند. به هر حال هر یک از انواع Honeypot می­تواند برای هر یک از اهداف فوق مورد استفاده قرار گیرند و هیچ یک از این اهداف، برتر از دیگری نیستند. زمانی که هانی پات ها برای اهداف تجاری مورد استفاده قرار می­گیرند، می­توانند از سازمانها به سه روش محافظت نمایند: جلوگیری از حملات، تشخیص حملات، و پاسخگویی به حملات. اما زمانیکه برای اهداف تحقیقاتی مورد استفاده قرار می­گیرند، اطلاعات را جمع آوری می­کنند. این اطلاعات ارزش های مختلفی برای سازمانهای گوناگون دارند. برخی سازمانها ممکن است بخواهند راهکارهای مهاجم را مطالعه کنند، در حالیکه ممکن است برخی دیگر به هشدارها و پیشگیری های زود هنگام علاقه مند باشند.

جلوگیری از حملات

هانی پات ها می­توانند به روشهای مختلف از بروز حملات جلوگیری کنند. برای مثال
هانی پاتها می­توانند از حملات خودکار مانند حملاتی که به وسیله کرمها آغاز می­شوند پیشگیری نمایند. این حملات مبتنی بر ابزارهایی هستند که به صورت تصادفی کل شبکه را اسکن کرده و به دنبال سیستمهای آسیب پذیر می­گردند. اگر این سیستمها پیدا شوند، این ابزارهای خودکار به آن سیستم حمله کرده و کنترل آنها را به دست می­گیرند. Honeypot ها با کند کردن پروسه اسکن و حتی توقف آن به دفاع در برابر چنین حملاتی کمک می­کنند. این Honeypot ها که به نامهانی پات های چسبناکمعروفند، فضای IP بدون استفاده را کنترل می­کنند. زمانی که اینهانی پات ها با یک فعالیت اسکن روبرو می­شوند، شروع به تعامل کرده و سرعت کار مهاجم را کند می­کنند. آنها این کار را با انواع مختلف ترفندهای TCP مانند استفاده از پنجره با اندازه صفر انجام می­دهند.

یک مثال ازهانی پات های چسبناک، LaBrea Tarpit است. هانی پات های چسبناک معمولا از دسته با تعامل کم هستند. حتی می­توان آنها راهانی پات بدون تعامل دانست، چرا که مهاجم را کند و متوقف می­سازند.

شما می­توانید با استفاده از Honeypot ها از شبکه خود در برابر حملات انسانی غیر خودکار نیز محافظت نمایید. این ایده مبتنی بر فریب یا تهدید است. در این روش شما مهاجمان را گیج کرده و زمان و منابع آنها را تلف می­کنید. به طور همزمان سازمان شما قادر است که فعالیت مهاجم را تشخیص داده و در نتیجه برای پاسخگویی و متوقف کردن آن فعالیت، زمان کافی در اختیار داشته باشد. این موضوع حتی می­تواند یک گام نیز فراتر رود. اگر مهاجمان بدانند که سازمان شما از هانی پات استفاده می­کند ولی ندانند که کدام سیستم هاهانی پات هستند، ممکن است به طور کلی از حمله کردن به شبکه شما صرف نظر کنند. در این صورت Honeypot یک عامل تهدید برای مهاجمان به شمار رفته است. یک نمونه از Honeypot هایی که برای این کار طراحی شده اند، Deception Toolkit است.

تشخیص حملات

یک راه دیگر کههانی پات ها با استفاده از آن از سازمان شما محافظت می­کنند، تشخیص حملات است. از آنجایی که تشخیص، یک اشکال و یا نقص امنیتی را مشخص می­کند، حائز اهمیت است. صرف نظر از این که یک سازمان تا چه اندازه امن باشد، همواره اشکالات و نقایص امنیتی وجود دارند. چرا که حداقل نیروی انسانی در پروسه امنیت درگیرند و خطاهای انسانی همیشه دردسر سازند. با تشخیص حملات، شما می­توانید به سرعت به آنها دسترسی پیدا کرده، و خرابی آنها را متوقف ساخته یا کم نمایید.

ثابت شده است که تشخیص کار بسیار سختی است. تکنولوژیهایی مانند سنسورهای سیستم تشخیص نفوذ و لاگهای سیستمها، به دلایل مختلف چندان موثر نیستند. این تکنولوژیها داده های بسیار زیادی تولید کرده و درصد خطای تشخیص نادرست آن بسیار بالاست. همچنین این تکنولوژیها قادر به تشخیص حملات جدید نیستند و نمی­توانند در محیطهای رمز شده یا IPv6 کار کنند. به طور معمولهانی پات های با تعامل کم، بهترین راه حل برای تشخیص هستند. چرا که به کار گرفتن و نگهداری اینهانی پات ها ساده تر بوده و در مقایسه باهانی پات های با تعامل بالا، ریسک کمتری دارند.

پاسخگویی به حملات

Honeypot ها با پاسخگویی به حملات نیز می­توانند به سازمانها کمک کنند. زمانی که یک سازمان یک مشکل امنیتی را تشخیص می­دهد، چگونه باید به آن پاسخ دهد؟ این مسأله معمولاً می­تواند یکی از چالش برانگیزترین مسائل یک سازمان باشد. معمولاً اطلاعات کمی درباره اینکه مهاجمان چه کسانی هستند، چگونه به آنجا آمده اند و یا اینکه چقدر تخریب ایجاد کرده اند وجود دارد. در این شرایط، داشتن اطلاعات دقیق در مورد فعالیت های مهاجمان بسیار حیاتی است. دو مسأله با پاسخگویی به رویداد آمیخته شده است. اول اینکه بسیاری از سیستم هایی که معمولاً مورد سوء استفاده قرار می­گیرند، نمی توانند برای تحلیل شدن از شبکه خارج گردند. سیستم های تجاری، مانندMail Server یک سازمان، به حدی مهم هستند که حتی اگر این سیستم هک شود، ممکن است متخصصان امنیت نتوانند سیستم را از شبکه خارج کنند و برای تحلیل آن بحث نمایند. به جای این کار، آنها مجبورند به تحلیل سیستم زنده در حالی که هنوز سرویسهای تجاری را ارائه می­کند، بپردازند. این موضوع باعث می­شود که تحلیل اتفاقی که رخ داده، میزان خسارت به بار آمده، و تشخیص نفوذ مهاجم به سیستم های دیگر سخت باشد.

مشکل دیگر این است که حتی اگر سیستم از شبکه خارج گردد، به حدی آلودگی داده وجود دارد که تشخیص اینکه فرد مهاجم چه کاری انجام داده است بسیار سخت است. منظور از آلودگی داده، داده های بسیار زیاد در مورد فعالیت های گوناگون (مانند ورود کاربران، خواندن حسابهای ایمیل، فایلهای نوشته شده در پایگاه داده، و مسائلی از این قبیل) است که باعث می­شود تشخیص فعالیت های معمول روزانه از فعالیتهای فرد مهاجم سخت باشد.

هانی پات ها برای هر دوی این مشکلات راه حل دارند. آنها می­توانند به سرعت و سهولت از شبکه خارج گردند تا یک تحلیل کامل بدون تأثیر بر کارهای روزانه انجام گیرد. همچنین از آنجایی که این سیستم ها فقط فعالیت های خرابکارانه یا تأیید نشده را ثبت می­کنند، کار تحلیل بسیار ساده تر خواهد بود و داده های بسیار کمتری باید بررسی شوند. ارزش هانی پات ها به این است که آنها قادرند به سرعت اطلاعات عمیق و پرفایده را در اختیار سازمان قرار دهند تا بتواند به یک رویداد پاسخ دهد. Honeypot های با تعامل بالا بهترین گزینه برای پاسخگویی است. برای پاسخگویی به نفوذگران، شما باید دانش عمیقی در مورد کاری که آنها انجام داده اند، شیوه نفوذ، و ابزارهای مورد استفاده آنها داشته باشید. برای به دست آوردن این نوع داده ها، شما احتیاج به Honeypot های با تعامل بالا دارید.

استفاده از Honeypot ها برای مقاصد تحقیقاتی

همانطور که پیش از این اشاره شد، Honeypot ها می­توانند برای مقاصد تحقیقاتی نیز مورد استفاده قرار گیرند. به این ترتیب اطلاعات ارزشمندی در مورد تهدیدات به دست
می آید که تکنولوژیهای دیگر کمتر قادر به جمع آوری آن هستند. یکی از بزرگترین مشکلات متخصصان امنیت، کمبود اطلاعات یا آگاهی در مورد حملات مجازی است. زمانی که شما دشمن را نمی­شناسید، چگونه می­خواهید در برابر او دیوار دفاعی تشکیل دهید؟ هانی پات های تحقیقاتی این مشکل را با جمع آوری اطلاعاتی در مورد تهدیدات حل می­کنند. سپس سازمانها می­توانند از این اطلاعات برای مقاصد مختلفی مانند تحلیل، شناسایی ابزارها و روشهای جدید، شناسایی مهاجمان و جوامع آنها، هشدارهای اولیه و جلوگیری، و یا درک انگیزه های مهاجمان استفاده کنند.

اکنون شما باید درک بهتری از چیستی Honeypot ها، نحوه استفاده از آنها، توانایی ها و مزایا و معایب آنها به دست آورده باشید.

 

 مطالب مرتبط با هانی پات

هانی پات چیست؟

انواع هانی پات

 منبع: www.kaminpod.com

آیا نیاز به راهنمایی بیشتری دارید؟

شما می توانید در هر ساعت از شبانه روز از طریق ایمیل و یا در ساعات اداری شرکت از طریق تلفن با همکاران ما تماس گرفته و مسائل و مشکلات خود را با ما در میان بگذارید. برای کسب آگاهی از اطلاعات تماس از منوی تماس با ما بالای صفحه اقدام نمائید.

آیا نیاز به تست و دمو دارید؟

از آنجائیکه سعی شرکت براین است تا حداکثر اطمینان مشتریان را قبل از خرید برآورده نماید در صورتیکه نیاز به تست و بازدید از نرم افزارها و یا راهکارهای مطرح شده دارید با ما تماس گرفته و نسبت به دریافت دمو حضوری و یا آنلاین اقدام نمائید. برای کسب آگاهی از اطلاعات تماس از منوی تماس با ما بالای صفحه اقدام نمائید..