Honeypo
هاي با تعامل كم براي اهداف تجاري و Honeypotهاي با تعامل زياد براي مقاصد تحقيقاتي مورد استفاده قرار ميگيرند.
Honeypotها ابزارهايي بسيار
انعطافپذيرند كه ميتوانند براي اهداف مختلفي مورد استفاده قرار گيرند؛
ميتوان از آنها به عنوان ابزارهايي در انبار مهارت امنيتي خود به هر نحوي
كه مناسب نيازهايمان باشد، استفاده كرد به طور كلي ميتوان Honeypotها را
از لحاظ ارزش كاربردي در دو دسته تجاري و تحقيقاتي دستهبندي كرد.
معمولا Honeypotهاي با تعامل كم
براي اهداف تجاري مورد استفاده قرار ميگيرند؛ در حالي كه Honeypotهاي با
تعامل زياد براي مقاصد تحقيقاتي استفاده ميشوند به هر حال هر يك از انواع
Honeypot ميتوانند براي هر يك از اهداف فوق مورد استفاده قرار گيرند و هيچ
يك از اين اهداف برتر از ديگري نيستند.
زماني كه Honeypotها براي اهداف
تجاري مورد استفاده قرار ميگيرند ميتوانند از سازمانها به سه روش محافظت
كنند؛ جلوگيري از حملات، تشخيص حملات و پاسخگويي به حملات اما زماني كه
براي اهداف تحقيقاتي مورد استفاده قرار ميگيرند، اطلاعات را جمعآوي
ميكنند؛ اين اطلاعات ارزشهاي مختلفي براي سازمانهاي گوناگون دارند.
برخي سازمانها ممكن است بخواهند
راهكارهاي مهاجم را مطالعه كنند در حالي كه ممكن است برخي ديگر به هشدارها و
پيشگيريهاي زودهنگام علاقهمند باشند.
*جلوگيري از حملات
Honeypotها ميتوانند به روشهاي
مختلف از بروز حملات جلوگيري كنند؛ براي مثال Honeypotها ميتوانند از
حملات خودكار مانند، حملاتي كه به وسيله كرمها آغاز ميشوند، پيشگيري
كنند. اين حملات مبتني بر ابزارهايي هستند كه بهصورت تصادفي كل شبكه را
اسكن كرده و به دنبال سيستمهاي آسيبپذير ميگردند؛ اگر اين سيستمها پيدا
شوند ابزارهاي خودكار فوق به آن سيستم حمله كرده و كنترل آن را به دست
ميگيرند.
Honeypotها با كند كردن پروسه
اسكن و حتي توقف آن به دفاع برابر چنين حملاتي كمك ميكنند اينها كه به
نام Honeypot هاي چسبناك معروفند فضاي IP را كنترل ميكنند؛ زماني كه با يك
فعاليت اسكن روبرو ميشوند، شروع به تعامل و سرعت كار مهاجم را كند
ميكنند؛ آنها اين كار را با انواع مختلف ترفندهاي TCP مانند استفاده از
پنجره با اندازه صفر انجام ميدهند يك مثال از Honeypotهاي چسبناك la brea
tarpit است.
Honeypotهاي چسبناك معمولا از
دسته با تعامل كم هستند، حتي ميتوان آنها را Honeypot بدون تعامل دانست،
چرا كه مهاجم را كند و متوقف ميسازند.
* تشخيص حملات
طبق اين مقاله كه برگرفته شده از
گزارشات افتاست؛ يك راه ديگر Honeypotها جهت محافظت از سازمان تشخيص حملات
است از آنجايي كه تشخيص يك اشكال و يا نقص امنيتي را مشخص ميكند، حايز
اهميت است؛ صرف نظر از اين كه يك سازمان تا چه اندازه امن باشد، همواره
اشكالات و نقايص امنيتي وجود دارند چرا كه حداقل نيروي انساني در پروسه
امنيت درگيرند و خطاهاي انساني هميشه دردسر سازند.
با تشخيص حملات، ميتوان به سرعت به آنها دسترسي پيدا كرده و خرابي آنها را متوقف ساخته يا كاهش داد.
* پاسخگويي به حملات
Honeypotها با پاسخگويي به حملات
نيز ميتوانند به سازمانها كمك كنند؛ زماني كه يك سازمان يك مشكل امنيتي
را تشخيص ميدهد، چگونه بايد به آن پاسخ دهد؟ اين مساله معمولا ميتواند
يكي از چالش برانگيزترين مسائل يك سازمان باشد معمولا اطلاعات كمي درباره
اين كه مهاجمان چه كساني هستند، چگونه به آنجا آمدهاند و يا اين كه چه
ميزان تخريب ايجاد كردهاند، وجود دارد.
در اين شرايط داشتن اطلاعات دقيق
درباره فعاليتهاي مهاجمان بسيار حياتي است؛ دو مساله پاسخگويي به رويداد
آميخته شده است؛ اول اين كه بسياري از سيستمهايي كه معمولا مورد سوء
استفاده قرار ميگيرند، نميتوانند براي تحليل از اين شبكه خارج گردند.
مشكل ديگر اين است كه حتي اگر
سيستم از شبكه خارج گردد، به حدي آلودگي داده وجود دارد كه تشخيص كار انجام
شده توسط فرد مهاجم بسيار سخت است؛ منظور از آلودگي داده، دادهها بسيار
زياد در مورد فعاليتهاي گوناگون مانند ورود كاربران خواندن حسابهاي
ايميل، فايلهاي نوشته شده در پايگاه داده و مسائلي از اين قبيل است كه
باعث ميشود تشخيص فعاليتهاي معمول روزانه از فعاليتهاي فرد مهاجم سخت
باشد.
Honeypotها براي هر دوي اين
مشكلات راهحل دارند؛ آنها ميتوانند به سرعت و سهولت از شبكه خارج گردند
تا يك تحليل كامل، بدون تاثير بر كارهاي روزانه انجام گيرد، همچنين از
آنجايي كه اين سيستمها فقط فعاليتهاي خرابكارانه يا تاييد نشده را ثبت
ميكنند، كار تحليل بسيار سادهتر خواهد بود و دادههاي بسيار كمتري بايد
بررسي شوند؛ ارزش Honeypotها به اين است كه آنها قادرند به سرعت اطلاعات
عميق و پرفايده را در اختيار سازمان قرار دهند تا بتواند به يك رويداد پاسخ
دهد.
*استفاده از Honeypotها براي مقاصد تحقيقاتي
در گزارش مركز ماهر آمده است:
Honeypotها ميتوانند براي مقاصد تحقيقاتي نيز مورد استفاده قرار گيرند، به
اين ترتيب اطلاعات ارزشمندي در مورد تهديدات به دست ميآيد كه
تكنولوژيهاي ديگر كمتر قادر به جمعآوري آن هستند؛ يكي از بزرگترين
مشكلات متخصصان امنيت، كمبود اطلاعات يا آگاهي در مورد حملات مجازي است،
زماني كه شما دشمن را نميشناسيد، چگونه ميخواهيد در برابر او ديوار دفاعي
تشكيل دهيد؟
Honeypotهاي تحقيقاتي اين مشكل را
با جمعآوري اطلاعاتي در مورد تهديدات حمل ميكنند، سپس سازمانها
ميتوانند از اين اطلاعات براي مقاصد مختلفي مانند تحليل، شناسايي ابزارها و
روشهاي جديد شناسايي مهاجمان و جوامع آنها، هشدارهاي اوليه و جلوگيري يا
درك انگيزههاي مهاجمان استفاده كنند.