هانی پات یک مکانیسم امنیتی است که با استفاده از روش کاذب یک دام مجازی برای فریب مهاجمان ایجاد می کند. در واقع یک سیستم رایانه ای که وانمود می کند به خطر افتاده است و به مهاجمان اجازه می دهد از آسیب پذیری ها سوء استفاده کنند. شما می توانید برای هر منبع محاسباتی از نرم افزار و شبکه ها گرفته تا سرورها و روترها ، یک Honeypot را اعمال کنید.
Honeypot ها نوعی فناوری فریب هستند که به شما امکان می دهد الگوهای رفتاری مهاجمان شبکه ای (Attackers) را درک کنید و تیم امنیتی سازمان می تواند برای بررسی نقض امنیت سایبری ، از Honeypot استفاده کند تا از نحوه عملکرد مجرمان سایبری استفاده کند.
Honeypot ها بر اساس مدل طراحی و استقرار متفاوت هستند ، اما همگی آنها طعمه هایی هستند که در نظر گرفته شده اند که مانند سیستم های آسیب پذیر و قانونی که وجود دارند ، برای جذب مجرمان سایبری به نظر برسند.
دو نوع اصلی در طراحی Honeypot وجود دارد :
۱. Production Honeypot :
به عنوان بخشی از سیستم شناسایی نفوذ (IDS) در شبکه ها و سرورهای در حال سرویس دهی استفاده می شوند و ضمن تجزیه و تحلیل فعالیت های مخرب برای کمک به کاهش آسیب پذیری ها ، توجه هکرها را از سیستم واقعی منحرف می کنند.
- Research Honeypots : این دسته برای اهداف آموزشی و تقویت امنیت شبکه سازمان استفاده می شوند و حاوی اطلاعات قابل ردیابی هستند که می توانید هنگام سرقت ، از آن برای ردیابی حمله استفاده کنید.
استقرار Honeypots ها در شبکه که به Attackers ها اجازه می دهد سطوح مختلف فعالیت مخرب را انجام دهند به دو دسته تقسیم می شوند :
- Low-interaction honeypots : به معنای Honeypot های کم واکنش تعریف می شوند . این دسته Honeypot ها دارای ارتباط و فعالیتی محدود میباشند که معمولا با سرویس ها و سیستم عامل های شبیه سازی شده کار میکنند و از خدمات و سیستم هایی که غالباً توجه Attaker ها را به خود جلب می کند استفاده می کنند. آن ها روشی را برای جمع آوری داده ها از حملات کور مانند Botnet ها و نرم افزارهای مخرب ارائه می دهند.
به عنوان مثال یک سرویس HTTP شبیه سازی شده که با پورت ۸۰ کار می کند ممکن است فقط یک صفحه Web شبیه سازی کرده باشد. یکی از فواید Honeypot های کم واکنش سادگی آنها می باشد که خیلی راحت می توان آن ها را گسترش داد و بیش تر درگیر این مورد هستند که چه نرمافزارهایی باید روی چه سیستم عامل هایی نصب شوند و همچنین می خواهید چه پیکربندی را برای آن شبیه سازی و مانیتور کنید.
اگر بخواهیم یکی از مضرات Honeypot های کم واکنش را بیان کنیم این است که آن ها فقط اطلاعات محدودی را میتوانند جمع آوری کند و طراحی شده اند که فقط اطلاعاتی راجع به حملات شناخته شده را به ثبت برسانند .
تشخیص یک Honeypot کم واکنش برای یک Attacker بسیار راحت می باشد. اطمینان خاطر نداشته باشید که شبیه سازی شما چه اندازه خوب است زیرا Attaker های حرفهای به سرعت یک Honeypot کم واکنش را از یک سیستم واقعی تشخیص می دهند.
KFsensor یک Honeypot کم واکنش می باشد.
- High-interaction honeypots : به معنای Honeypot های پر واکنش تعریف می شوند. مجموعه های پیچیده ای که مانند زیرساخت های واقعی رفتار می کنند. زیرا از سیستم عامل ها و زیرساخت های واقعی استفاده می کنند. آن ها سطح فعالیت های یک Attaker را محدود نمی کنند و بینش گسترده ای در مورد امنیت ارائه می دهند. با این حال آن ها از نگه داری بالاتری برخوردار هستند و نیاز به تخصص و استفاده از فن آوری های اضافی مانند ماشین های مجازی برای اطمینان از دسترسی Attaker ها به سیستم واقعی ندارند.پایان بخش اول…
