امنیت شبکه با هانی‌پات (Honeypot)

هر سازمانی برای جلوگیری از دسترسی هکر‌ها به اطلاعات مهم خود، از راهکار‌ها و پروتکل‌های امنیتی مختلفی استفاده می‌کند. یکی از رایج‌ترین این راهکار‌ها برای به دام انداختن هکر‌ها، Honeypot (هانی‌پات) است. در این مقاله، به تعریف هانی‌پات و انواع مختلف آن می‌پردازیم و نحوه میزبانی آن‌ها در ابر را توضیح می‌دهیم.

هانی‌پات چیست؟

هانی‌پات (ظرف عسل) یک سیستم جعلی و کاملا مشابه با سیستم واقعی است که مانند یک تله‌ی دیجیتالی عمل می‌کند و با شبیه‌سازی نقاط آسیب‌پذیر، هکرها را فریب داده و آن‌ها را به سمت خود جذب می‌کند. هنگامی‌که هکرها وارد سیستم دارای هانی‌پات می‌شوند، فکر می‌کنند به هدف مورد نظر رسیده‌اند؛ در حالیکه، همه اقدامات آن‌ها برای هک کردن ضبط می‌شوند. به این ترتیب، می‌توان به روش و چگونگی دور زدن کنترل‌های امنیتی توسط هکر‌ها پی برد و چیزهای زیادی را از آن‌ آموخت.

در واقع، هانی‌پات نوعی فناوری فریب است که به درک الگوهای رفتاری مهاجم (هکر) کمک می‌کند. تیم‌های امنیتی می‌توانند از هانی‌پات برای بررسی نقض امنیت سایبری و جمع‌آوری اطلاعات در مورد نحوه فعالیت مجرمان اینترنتی استفاده کنند.

هانی‌پات چگونه کار می‌کند؟

هانی‌پات به نظر یک سیستم رایانه‌ای واقعی است، که با برنامه‌ها و اطلاعات خود، مجرمان سایبری را فریب می‌دهد. برای مثال، یک هانی‌پات می‌تواند از سیستم صورت‌حساب مشتری یک شرکت تقلید کند و هدف حمله مکرر مجرمانی قرار بگیرد که می‌خواهند شماره کارت‌های اعتباری را پیدا کنند. به محض ورود هکرها، می‌توان آن‌ها را ردیابی کرد و رفتار آن‌ها را برای به‌دست آوردن سرنخ‌هایی در مورد چگونگی امنیت بیشتر شبکه واقعی ارزیابی کرد.

همچنین، هانی‌پات‌ها با ایجاد آسیب‌پذیری‌های امنیتی آگاهانه و عمدی، برای مهاجمان جذاب می‌شوند. به‌عنوان مثال، یک هانی‌پات ممکن است پورت‌هایی داشته باشد که به اسکن درگاه یا گذرواژه‌های ضعیف حساس نبوده و جواب می‌دهند؛ این درگاه‌های آسیب‌پذیر ممکن است برای جلب توجه هکر‌ها آزاد باشند.

در نتیجه می‌توان گفت که هانی‌پات یک ابزار اطلاعاتی است که می‌تواند به شما کمک کند تهدید‌های موجود برای سیستم‌های تجاری خود را پیدا کرده و ظهور تهدیدهای جدید را تشخیص دهید. با اطلاعاتی که از یک هانی‌پات به دست می‌آورید، می‌توانید تلاش‌های امنیتی خود را اولویت‌بندی کنید.

انواع رایج هانی‌پات و نحوه عملکرد آن‌ها

هانی‌پات‌ها انواع مختلفی دارند و سطح محافظت آن‌ها از سیستم شما متفاوت است. هر کسب‌وکاری دارای سیستم‌های مختلفی است که از ابزارهای متنوعی برای امنیت بیشتر استفاده می‌کنند و هانی‌پات‌ها نیز با توجه به این متغیرها ایجاد می‌شوند. برای شناسایی انواع تهدیدات می‌توان از انواع مختلف هانی‌پات استفاده کرد.
در ادامه به تعریف انواع هانی‌پات، هم از نظر کاربرد و هم از نظر نوع تهدیدی که با آن مقابله می‌کنند، می‌پردازیم.

هانی‌پات از نظر کاربرد به دو دسته تقسیم می‌شود:

1. هانی‌پات‌های تولیدی: این هانی‌پات‌ها تله‌هایی هستند که به‌عنوان نقاط آسیب‌پذیر نشان داده می‌شوند و از سیستم واقعی شما محافظت می‌کنند. هانی‌پات‌های تولیدی برای منحرف کردن تهدیدات سایبری مورد استفاده قرار می‌گیرند، اما در عین حال، چنین فعالیت‌هایی را نیز تجزیه و تحلیل می‌کنند.
2. هانی‌پات‌های تحقیقاتی: از این نوع هانی‌پات‌ها برای جمع‌آوری اطلاعات در دنیای سایبری و فناوری‌های جدید مورد استفاده برای حملات مخرب، استفاده می‌شود و از داده‌ها برای ردیابی بیشتر و تجزیه و تحلیل حملات استفاده می‌کنند.

هانی‌پات از نظر نوع تهدید به چهار دسته تقسیم می‌شود:

1. تله‌های ایمیل (Email Traps) یا تله‌های هرزنامه: این نوع هانی‌پات یک آدرس ایمیل جعلی را در مکانی مخفی قرار می‌دهد که فقط یک ربات جمع‌آوری آدرس ایمیل می‌تواند آن را پیدا کند. از آن‌جایی که این آدرس برای هیچ هدفی غیر از تله هرزنامه استفاده نمی‌شود، 100٪ مطمئن است که هر ایمیلی که به آن ارسال می‌شود یک هرزنامه است. همه ایمیل‌هایی که با محتوای مشابه به تله هرزنامه ارسال می‌شوند را می‌توان به‌طور خودکار مسدود کرد و IP منبع فرستنده‌ها را می‌توان به denylist اضافه کرد.
2. پایگاه داده طعمه (decoy database): در این روش یک پایگاه داده را به عنوان طعمه قرار می‌دهند تا با وسوسه کردن هکرها برای سوء استفاده از معماری ناامن از طریق SQL injection و موارد دیگر، بتوانند بر آسیب‌پذیری‌های نرم‌افزار و حملات نقطه‌ای نظارت بیشتری داشته باشند.
3. بدافزار: هانی‌پات بدافزار از برنامه‌های نرم‌افزاری و APIها تقلید می‌کند تا حملات بدافزارها را به سمت خود بکشاند. از این حملات می‌توان ویژگی‌های بدافزار را شناسایی کرد و از آن‌ها برای توسعه نرم‌افزارهای ضد بدافزار یا بستن آسیب‌پذیری‌ها در API استفاده کرد.
4. اسپایدر: هانی‌پات عنکبوتی (Spider Honeypot) با ایجاد صفحات وب و لینک‌هایی که فقط برای crawlerها قابل دسترسی هستند، crawlerهای وب (spiders) را به دام می‌اندازد. شناسایی crawlerها به بلاک کردن ربات‌های مخرب و تبلیغاتی کمک می‌کند.

با نظارت بر ترافیک وارد شده به سیستم Honeypot، می‌توانید موارد زیر را ارزیابی کنید:

• مجرمان سایبری از کجا می‌آیند
• سطح تهدید چقدر است
• هکرها از چه روشی استفاده می‌کنند
• هکرها به چه داده‌ها یا برنامه‌هایی علاقه دارند
• اقدامات امنیتی شما برای جلوگیری از حملات سایبری چقدر خوب عمل می‌کند

هانی‌پات کم‌تعامل یا هانی‌پات با تعامل بالا؛ کدام‌یک بهتر است؟

یکی دیگر از تعاریف هانی‌پات به این موضوع می‌پردازد که آیا هانی‌پات دارای تعامل بالا یا تعامل کم است. هانی‌پات‌های کم‌تعامل از منابع کم‌تری استفاده می‌کنند و اطلاعات اولیه را درباره سطح، نوع تهدید و جایی که از آن می‌آیند را جمع‌آوری می‌کنند. راه اندازی این نوع هانی‌پات آسان و سریع است؛ معمولا فقط با برخی از پروتکل‌های اولیه شبیه‌سازی شده TCP و IP و خدمات شبکه راه‌اندازی می‌شوند. اما، هانی‌پات کم‌تعامل چیز جذابی ندارد که مهاجم را برای مدت طولانی درگیر کند، به همین دلیل اطلاعات عمیقی در مورد عادات یا تهدیدات پیچیده مهاجمان سایبری به دست نمی‌آید.

از سوی دیگر، هانی‌پات‌های تعاملی با هدف ترغیب هکرها به صرف زمان بیشتری در هانی‌پات، اطلاعات زیادی در مورد مقاصد و اهداف آن‌ها و همچنین آسیب‌پذیری‌هایی که از آن‌ها استفاده می‌کنند و شیوه‌های عملیاتی آن‌ها ارائه می‌کنند. پایگاه‌های داده، سیستم‌ها و فرآیندهایی که می‌توانند برای مدت طولانی‌تری با مهاجم درگیر شوند به محققان این امکان را می‌دهند تا رفتار مهاجمان را به خوبی بررسی کنند. مثلا این‌که مهاجمان برای یافتن اطلاعات حساس به کجا می‌روند، از چه ابزارهایی برای افزایش امتیازات خود استفاده می‌کنند یا از چه سوء استفاده‌هایی برای به خطر انداختن سیستم استفاده می‌کنند.

با این حال، هانی‌پات‌های با تعامل بالا، نیازمند منابع زیادی بوده و راه اندازی و نظارت بر آن‌ها دشوارتر و زمانبرتر هستند. همچنین، این نوع هانی‌پات‌ها می‌توانند خطر آفرین باشند. اگر هانی‌پات مورد استفاده به اندازه کافی ایمن نباشد، یک هکر مصمم و حیله‌گر می‌تواند از ضعف هانی‌پات با تعامل بالا سوء استفاده کرده و از آن برای حمله به سایر میزبان‌های اینترنتی یا ارسال هرزنامه استفاده کند.

هر دو نوع هانی‌پات در امنیت سایبری جایگاه و کاربرد خودشان را دارند. با استفاده از هر دو، می‌توان اطلاعات اولیه در مورد انواع تهدید‌ها که از هانی‌پات‌های با تعامل کم به دست می‌آیند را با افزودن اطلاعات مربوط به مقاصد، ارتباطات و سوء استفاده‌ها که از هانی‌پات با تعامل بالا حاصل می‌شوند، با هم ترکیب کرد و تجزیه و تحلیل ارزشمندی را از نتایج حاصل شده به دست آورد.

سازمان‌ها میتوانند با استفاده از هانی‌پات‌های سایبری از هزینه‌های امنیت سایبری خود در مکان‌های مناسب هدف و نقاط ضعف امنیتی خود اطمینان حاصل کنند.

مزایای استفاده از هانی‌پات چیست؟

Honeypotها می‌توانند راه خوبی برای افشای آسیب‌پذیری‌ها در سیستم‌های اصلی باشند. به عنوان مثال، هانی‌پات می‌تواند سطح تهدید ناشی از حملات به دستگاه‌های اینترنت اشیا را نشان دهد و راه‌هایی را برای بهبود امنیت آن پیشنهاد کند. به طور کلی مزایای هانی‌پات عبارتند از:

1. شناسایی سریع تهدید و حمله: استفاده از هانی‌پات نسبت به تلاش برای تشخیص نفوذ در سیستم واقعی مزایای زیادی دارد. به عنوان مثال، طبق تعریف، هانی‌پات نباید هیچ‌گونه ترافیک قانونی داشته باشد، بنابراین هرگونه فعالیت ثبت شده در آن احتمالا تلاش مهاجم برای نفوذ را نشان می‌دهد. این امر، تشخیص الگوهایی مانند آدرس‌های IP مشابه (یا آدرس‌های IP که همه از یک کشور می‌آیند) را بسیار آسان‌تر می‌کند. مزیت بزرگ استفاده از امنیت honeypot این است که آدرس‌های مخرب تنها آدرس‌هایی هستند که می‌بینید و شناسایی حمله را بسیار آسان‌تر می‌کند.
2. عدم نیاز به سخت‌افزار قوی: از آن‌جایی که هانی‌پات‌ها ترافیک بسیار محدودی را مدیریت می‌کنند، نیاز به منابع سخت‌افزاری خیلی قوی ندارند. حتی می‌توان با استفاده از رایانه‌های قدیمی که دیگر از آن‌ها استفاده نمی‌شود، هانی‌پات راه‌اندازی کرد. در مورد نرم‌افزار آن نیز می‌توان از هانی‌پات‌های آماده که به صورت آنلاین در دسترس هستند استفاده کرد.
3. کاهش تشخیص حمله کاذب: با استفاده از داده‌های جمع‌آوری‌شده توسط هانی‌پات‌ها و ارتباط آن‌ها با دیگر گزارش‌های سیستم و فایروال، می‌توان سیستم‌های تشخیص نفوذ (IDS) را با هشدارهای مرتبط‌تری پیکربندی کرد تا نتایج مثبت کاذب کم‌تری تولید کند. به این ترتیب، هانی‌پات‌ها می‌توانند به اصلاح و بهبود سایر سیستم‌های امنیت سایبری کمک کنند.
4. ارائه اطلاعات مطمئن از حملات سایبری: هانی‌پات می‌تواند اطلاعات قابل اعتمادی را در مورد چگونگی تکامل تهدیدات سایبری به شما بدهد. این اطلاعات در مورد بردارهای حمله، سوء استفاده‌ها و بدافزارها، تله‌های ایمیل، هرزنامه‌ها و حملات فیشینگ است. هکرها به‌طور مداوم تکنیک‌های نفوذ خود را اصلاح می‌کنند. هانی‌پات سایبری به شناسایی تهدیدها و نفوذهای در حال ظهور کمک می‌کند. استفاده خوب از هانی‌پات به از بین بردن نقاط کور نیز می‌تواند کمک کند.
5. آموزش و یادگیری قانونی رفتار هکرها: هانی‌پات‌ها ابزارهای آموزشی عالی برای کارکنان امنیت فنی هستند. هانی‌پات محیطی کنترل شده و ایمن را برای نشان دادن نحوه عملکرد مهاجمان و بررسی انواع مختلف تهدیدات فراهم می‌کند. با استفاده از هانی‌پات، کارکنان امنیتی می‌دانند که تمامی ترافیک آن مربوط به اقدامات هکر است و دیگر حواسشان با ترافیک‌های قانونی پرت نخواهد شد؛ آن‌ها می‌توانند 100٪ روی تهدید تمرکز کنند.
6. شناسایی تهدیدات داخلی: هانی‌پات‌ها می‌توانند تهدیدات داخلی را شناسایی کنند. اکثر سازمان‌ها وقت خود را صرف دفاع از محیط در برابر عوامل خارجی می‌کنند. اما باید این را هم در نظر بگیرند که هر هکری که قبلا موفق به عبور از فایروال شده باشد، اکنون درون سازمان نفوذ کرده و می‌تواند هرگونه خرابکاری که بخواهد را انجام دهد. فایروال‌ها در برابر تهدیدات داخلی کمکی نمی‌کنند – به عنوان مثال، فایروال نمی‌تواند جلوی کارمندی را که می‌خواهد قبل از ترک شغل خود فایل‌های مهم را بدزدد، بگیرد. هانی‌پات می‌تواند به شما اطلاعات خوبی در مورد تهدیدات داخلی بدهد و آسیب‌پذیری‌هایی را که به افراد داخلی اجازه می‌دهد از سیستم سوء استفاده کنند، نشان دهد.
7. کاهش سرعت حمله: هر چه هکرها زمان بیشتری را صرف هدر دادن تلاش خود در هانی‌پات کنند، زمان کم‌تری برای هک کردن سیستم‌های واقعی و ایجاد آسیب به آن‌ها – به شما یا دیگران – در اختیار خواهند داشت.

آیا استفاده از هانی‌پات خطرناک است؟

به زبان ساده – نه. هانی‌پات بدون آن‌که سیستم‌های واقعی شما را در معرض خطر قرار دهد، از آن‌ها محافظت می‌کند. با این حال، هانی‌پات نباید تنها نوع سیستم امنیتی باشد که شرکت شما برای محافظت از اطلاعات مهم خود به کار می‌گیرد.

هانی‌پات‌ها از آسیب‌پذیری‌های کاذب برای به دام انداختن فعالیت هکر‌ها استفاده می‌کنند، اما به هر حال، باید به نحوی به سازمان شما هم متصل شوند. البته لازم نیست که حتما به سیستم یا ابر واقعی شرکت شما وصل باشند، بلکه یک وب‌سایت جعلی از سازمان یا یک نام دامنه ثبت شده جعلی هم می‌تواند کافی باشد.

هکرهای ماهرتر ممکن است نوع سیستم‌های امنیتی شما را تشخیص دهند و بفهمند که از هانی‌پات استفاده می‌کنید؛ اما حتی پس از فهمیدن این موضوع، برای جلوگیری از ردیابی خودشان توسط مکانیزم امنیتی شما، حمله را متوقف خواهند کرد – باز هم، بدون آسیب رساندن به اطلاعات شما!

از طرفی، هانی‌پات‌ها همه آن‌چه را که در جریان است نمی‌بینند؛ آن‌ها فقط فعالیت‌هایی که به هانی‌پات هدایت می‌شوند را می‌بینند. بنابراین، فقط به این دلیل که تهدید خاصی علیه هانی‌پات انجام نشده است، نمی‌توانید فرض کنید که حمله‌ای وجود ندارد.

یک هانی‌پات خوب که به درستی پیکربندی شده باشد می‌تواند مهاجمان را فریب دهد تا تصور کنند به سیستم واقعی دسترسی پیدا کرده‌اند. پس هانی‌پات باید تمامی پیام‌های هشدار ورود، فیلدهای داده، حتی ظاهر و احساس و آرم‌های مشابه سیستم‌های واقعی شما را داشته باشد. با این حال، اگر یک مهاجم موفق به شناسایی هانی‌پات شود، می‌تواند بدون هیچگونه اقدام مشکوکی در هانی‌پات، به سیستم‌های دیگر شما حمله کند.

همچنین، ممکن است مهاجم بعد از شناسایی هانی‌پات، اقدام به انجام حملات جعلی کند تا توجه تیم فنی امنیتی را از حملات واقعی خود منحرف کند، یا می‌توانند اطلاعات بد و نادرستی را به هانی‌پات وارد کنند تا افراد متخصص را بیشتر گیج کنند.

یک مهاجم باهوش می‌تواند از honeypot به عنوان راهی برای ورود به سیستم شما استفاده کند. به همین دلیل است که هانی‌پات‌ها هرگز نمی‌توانند جایگزین کنترل‌های امنیتی مانند فایروال‌ها و سایر سیستم‌های تشخیص نفوذ شوند. از آن‌جایی که هانی‌پات می‌تواند به عنوان سکوی پرتاب برای نفوذ بیشتر عمل کند، متخصص امنیت سایبری سازمان شما باید مطمئن شود که همه هانی‌پات‌ها به خوبی ایمن شده‌اند.

میزبانی از هانی‌پات‌ها در ابر

از هانی‌پات می‌توان برای محافظت از سیستم‌های ذخیره شده در فضای ابری استفاده کرد. همان‌طور که گفته شد، هانی‌پات‌ها در امنیت سایبری برای جمع‌آوری اطلاعات مربوط به هک، که برای جلوگیری از حملات و تقویت امنیت ضروری است، ایده‌آل هستند.

می‌توان هانی‌پات‌ها را مستقیما روی ابر قرار داد، اما بیشتر شرکت‌های امنیتی این کار را توصیه نمی‌کنند، زیرا این کار ممکن است سیستم شما را در معرض خطر غیرضروری قرار دهد.

یک گزینه جایگزین، استفاده از ابر عمومی برای میزبانی هانی‌پات است. ابر عمومی برای شناسایی حملات سایبری از مناطق مختلف جهان نیز کاربردی است.

هانی‌پات‌های مبتنی بر ابر را می‌توان به گونه‌ای تنظیم کرد که هکرها در هر نقطه از جهان آن را ببینند. این ویژگی حتی داده‌های ارزشمندتری را در اختیار شما قرار می‌دهد تا امنیت سایبری سازمان خود را به سطح بالاتری برسانید.

---

تصور می‌شود که مجرمان اینترنتی تهدیدی دور از دسترس هستند، اما با استفاده از هانی‌پات، می‌توانید ببینید که آیا هکرها برای نفوذ به شبکه سازمان شما اقدامی می‌کنند؟ در این‌صورت می‌توانید در بهترین زمان، جلوی نفوذ آن‌ها را بگیرید.

هانی‌پات می‌تواند با ایجاد تله‌های دیجیتالی برای هکرهایی که می‌خواهند از ضعف سیستم برای نفوذ استفاده کنند، از ابر، شبکه‌ها یا نرم‌افزارهای شما محافظت کند. فناوری مورد استفاده هکرها به‌طور مداوم در حال پیشرفت و تکامل است. بنابراین، استفاده از هانی‌پات برای به‌دست آوردن نوع جمع‌آوری اطلاعات آن‌ها به شرکت شما کمک می‌کند تا امنیت شبکه و ابر خود را تضمین کنید.

منابع:

• https://resources.infosecinstitute.com/topic/honeypots-in-the-cloud/
• https://developer-tech.com/news/2020/sep/02/why-you-need-honeypots-in-the-cloud-a-guide
• https://www.kaspersky.com/resource-center/threats/what-is-a-honeypot