هانی‌ پات (HoneyPot) چیست؟

امروز در تیم فنی و مهندسی برقچی سعی داریم تا به معرفی یکی از کاربردی‌ترین ابزار‌های شناسایی نقاط ضعف سیستم بپردازیم.

همانطور که میدانید امرزه یکی از مسائل مهم و حیاتی در شرکت‌ها تامین امنیت سیستم‌ها می‌باشد. ابزار‌های مختلفی وجود دارد تا شما بتوانید امنیت شرکت خود را بررسی کنید و نقاط ضعف آن‌ها را پیدا کنید.
یکی از این ابزارها هانی پاتHONEYPOT است. هانی پات از آن دسته از ابزارهایی است که مدیران و متخصصان حوزه امنیت از آن استفاده می‌کنند تا بتوانند ضعف‌های سیستم را شناسایی و اقدام به رفع آن بکنند.

نحوه عملکرد هانی پات

همانطور که از نام این ابزار مشخص است، این ابزار با ایجاد یک سیستم به عنوان طعمه این اجازه را به مدیران شبکه و کارشناسان می‌دهد تا با تحلیل و بررسی روش نفوذ به شناسایی حفره‌های موجود در سیستم بپردازند.

هانی پات سیستمی است که در شبکه سازمان قرار می‌گیرد، و این سیستم دارای یک سری ضعفهای عمدی است. از آنجائیکه مهاجمان برای نفوذ به یک شبکه همیشه به دنبال سیستمهای دارای ضعف می‌گردند، این سیستم توجه آنها را به خود جلب می‌کند. و با توجه به اینکه، در حقیقت این سیستم نوعی دام است که مهاجمان را فریب داده و به سوی خود جلب می‌کند، به عنوان مثال، یک هانی پات ممکن است دارای درگاه‌هایی باشد که به اسکن پورت یا رمز‌های عبور ضعیف پاسخ دهد. و آن‌ها را وارد درگاه‌های غیر واقعی خود کند و موجب ایمن نگه داشتن درگاه‌های اصلی شود.

هانی پات برای رفع یک مشکل خاص مانند ضعف در پیکربندی فایروال‌ها و یا آنتی ویروس تنظیم نشده است. درعوض ، این یک ابزار جذب اطلاعات است که می‌تواند سیستم شما در برابر تهدیدهای موجود در زمینه تجارت خود در امان نگه دارد و ظهور تهدیدهای جدید را متوجه شود.

این مقاله را نیز بخوانید: بهترین ایمیل سرویس‌های رایگان به جز گوگل و یاهو

انواع مختلف هانی پات و نحوه کار آنها

برای شناسایی انواع مختلف تهدیدها می‌توان از انواع مختلفی از هانی پات با توجه به نوع محتوای شما استفاده کرد. تعاریف مختلف مربوط به هانی پات مبتنی بر نوع تهدیدی است که به آن پرداخته شده است. همه آنها در یک استراتژی کامل و مؤثر در زمینه امنیت سایبری جای دارند.

Email traps
تله های ایمیل یا تله های اسپم هانی پات یک آدرس ایمیل جعلی را در مکانی پنهان قرار می‌دهند، از آنجا که آدرس برای هدفی غیر از تله اسپم مورد استفاده قرار نمی گیرد، 100٪ مطمئن است که هر پستی که به آن ارسال شود، مهاجم است. و همه پیام های ارسال شده به تله اسپم را می توان به طور خودکار مسدود کند و منبع IP ارسال کنندگان را می توان به لیست سیاه اضافه کرد.
decoy database
میتوان از پایگاه داده‌های طعمه، برای نظارت بر آسیب پذیری‌های نرم افزار، می‌توان یک بانک اطلاعاتی طعمه ایجاد کرد. و با شناخت حملات می‌توان از معماری سیستم ناامن به عنوان طعمه سوء استفاده کرد.
malware honeypot
یک بد افزار زنبور عسل برنامه های نرم افزاری و API را برای دعوت از حملات سایبری تقلید می‌کند. سپس با تقلید از خصوصیات بد افزارها می‌توانند برای تهیه نرم افزار ضد بد افزار یا بستن آسیب‌پذیری‌ها در API مورد تجزیه و تحلیل قرار گیرند.

spider honeypot
هانی پات عنکبوتی با ایجاد صفحات وب و پیوندهایی که فقط برای مهاجمان در دسترس است. شناسایی مهاجمان می‌تواند به شما در یادگیری نحوه مسدود کردن ربات های مخرب و همچنین مهاجمان شبکه
کمک کند.

با نظارت بر ترافیک ورودی به سیستم هانی پات ، می‌توانید ارزیابی کنید:
مجرمان سایبری از کجا می‌آیند.
شناسایی سطح تهدید.
به چه روشی عمل می‌کنند.
به چه داده یا برنامه‌هایی علاقه‌مند هستند.
و اقدامات امنیتی شما چقدر خوب برای متوقف کردن حملات سایبری کار می‌کند.

انواع هانی پات‌ها

هانی پات‌ها در شکل‌ها و اندازه‌های گوناگونی به وجود آمده‌اند و شناخت دسته بندی هانی پات‌ها به ما کمک میکند که دریابیم در هر مورد با چه نوعی از هانی پات‌ها و با چه درجه‌ای از قدرت و ضعف‌ها سر و کار داریم. هر تعامل سطحی از تحرکات را برای نفوذگر تعریف میکند.
یک هانی پات دارای تعامل زیاد( high-interaction) است یا تعامل کم( low-interaction).

هانی پات‌های ( high-interaction) از منابع کمتری استفاده می‌کنند و اطلاعات اولیه را در مورد سطح نوع تهدید و از کجا آمدن تهدید به دست می‌آورند. آنها آسان و سریع تنظیم می‌شوند، معمولاً فقط با برخی پروتکل‌های اولیه شبیه سازی شده TCP و IP و خدمات شبکه تنظیم می‌شوند. اما هیچ کاری در هانی پات وجود ندارد که مهاجم را به مدت طولانی درگیر کند ، و شما در مورد عادات آنها یا تهدیدات پیچیده اطلاعات عمیق دریافت نمی‌کنید.
از طرف دیگر، هدف از هانی پات های high-interaction  این است که هکرها بتوانند هرچه بیشتر وقت خود را داخل تله هانی پات سپری کنند، تا هانی پات اطلاعات زیادی در مورد اهداف و آسیب پذیری‌هایی که آنها استفاده می‌کنند و نحوه عمل آنها آشنا شود. این امر محققان را قادر می سازد تا متهاجمین را در سیستم پیدا کنند تا آنها را از اطلاعات حساس دور کنند، و از اطلاعات به‌دست آمده درمورد نحوه عمل مهاجمان علیه آنان سو استفاده می‌کنند.

با این حال، هانی پات‌های  ( high-interaction) زیاد پیچیده هستند. تنظیم و نظارت بر آنها دشوار و زمان بر است. آن‌ها همچنین می‌توانند خطر ایجاد کنند. اگر آنها با ” honey wall ”  ایمن نباشند ، یک هکر واقعاً مصمم و حیله‌گر می‌تواند از یک هانی پات ( high-interaction)  استفاده کند تا به میزبان حمله کند یا اطلاعاتی را از دستگاه سازش ارسال کند.

هر دو نوع لانه زنبوری جایگاهی در امنیت دارند که با استفاده از ترکیبی از اطلاعات حاصل از هر دو درمورد تهدیدات، علیه آنان سوء استفاده کنید.

یک بیزینس با استفاده از هانی پات ها میتواند برای اطلاعات در معرض تهدید، اطمینان حاصل کند که می تواند امنیت سایبری خود را در مکان‌های مناسب هدف قرار دهد و می‌تواند نقاط ضعف امنیتی را ببیند.

فواید استفاده از هانی پات‌ها

هانی پات‌ها می‌تواند راهی مناسب برای آشکار سازی آسیب‌پذیری در سیستم‌های بزرگ باشد. به عنوان مثال، یک هانی‌پات  (high-interaction)  می‌تواند از تهدیدات ناشی از حمله به دستگاه‌های IOT  را نشان دهد. همچنین می‌تواند راه‌های را برای بهبود امنیت ارائه دهد.
استفاده از هانی پات مزایای زیادی برای به دام انداختن نفوذ گران در سیستم دارد. زیرا هر گونه فعالیت در هانی پات ممنوع است، بنابراین هر فعالیتی که وارد شده است احتمالاً یک هکر یا یک حمله نفوذ است.

هانی پات‌ها فعالیتهای رمز شده را نیز کشف می کنند. حتی اگر یک حمله رمز شده باشد، هانی پات‌ها می‌توانند این فعالیت را کشف کنند. به تدریج که تعداد بیشتری از سازمانها از پروتکلهای رمز گذاری مانند SSH، IP و SSL  استفاده می‌کنند، این مساله بیشتر خود را نشان می‌دهد. هانی پات‌ها می‌توانند این کار را انجام دهند، چرا که حملات رمز شده با هانی پات به عنوان یک نقطه انتهایی ارتباط، تعامل برقرار می‌کنند و این فعالیت توسط هانی پات رمز گشایی می‌شود.

هانی‌ پات(HoneyPot) چیست؟

هانی پات با IP  کار میکند. اغلب هانی پات ها صرف نظر از پروتکل IP،  در هر محیط IP  کار می کنند. IP  یک استاندارد جدید پروتکل اینترنتIP  است که بسیاری از سازمانها در بسیاری از کشورها از آن استفاده می‌کنند. بسیاری از تکنولوژیهای فعلی مانند فایر والها و سنسور های سیستم تشخیص نفوذ به خوبی با IP  سازگار نشده اند.

هانی پات ها بسیار انعطاف پذیرند و می توانند در محیطهای مختلفی مورد استفاده قرار گیرند. مانند زمانی که شبکه شما از ترافیک زیادی برخوردار است. همین قابلیت انعطاف پذیر هانی پات ها است که به آنها اجازه می دهد کاری را انجام دهند که تعداد بسیار کمی از تکنولوژیها می توانند انجام دهند.

هانی پات ها به حداقل منابع نیاز دارند. حتی در بزرگترین شبکه ها، هانی پات ها به حداقل منابع احتیاج دارند. یک کامپیوتر قدیمی و ساده می تواند میلیونها آدرس IP  یا یک شبکه بسیار بزرگ را نظارت نماید.

هانی پات ها موارد خطاهای تشخیص اشتباه را کاهش می دهند. یکی از مهمترین چالشهای اغلب سیستمهای تشخیصی این است که پیغام های هشدار دهنده خطای زیادی تولید کرده و در موارد زیادی، این پیغام های هشدار دهنده واقعاً نشان دهنده وقوع هیچ خطری نیستند. یعنی در حالی یک رویداد را تهدید تشخیص می دهند که در حقیقت تهدیدی در کار نیست.  هر چه احتمال این تشخیص اشتباه بیشتر باشد، تکنولوژی تشخیص دهنده بی فایده تر می شود. هانی پات ها به طور قابل توجهی درصد این تشخیصهای اشتباه را کاهش می دهند، چرا که تقریبا هر فعالیت مرتبط با هانی پات ها به طور پیش فرض غیر مجاز تعریف شده است. به همین دلیل هانی پات ها در تشخیص حملات بسیار موثرند.

هانی پات ها می تواند در مورد نحوه تکامل تهدیدها اطلاعات قابل قبولی به شما بدهند. آنها اطلاعاتی در مورد حمله ها، سوءاستفاده ها و بد افزارها و در تله های ایمیل ، درباره اسپم ها و حملات phishing  ارائه می دهند. هکرها به طور مداوم تکنیک های نفوذ خود را اصلاح می کنند. یک های پات سایبر به شما در شناسایی تهدیدات و هجوم جدید کمک می کند. استفاده مناسب از های پات به ریشه کن کردن نقاط ضعف سیستم نیز کمک می کند.

هانی پات همچنین یک ابزار آموزشی عالی برای کارکنان امنیت فنی است. هانی پات یک محیط کنترل شده و بی‌خطر برای نشان دادن نحوه کار متهاجمین و بررسی انواع تهدیدات است. با داشتن یک های پات، کارمندان امنیتی از ترافیک واقعی با استفاده از شبکه منحرف نخواهند شد آنها می توانند 100٪ روی تهدید متمرکز شوند.
های پات همچنین می تواند تهدیدات داخلی را به دنبال داشته باشد. اکثر سازمان ها وقت خود را برای دفاع از محیط بیرون از سیستم می گذراندن تا اطمینان حاصل کنند که افراد خارجی و متجاوز نمی توانند وارد شوند. اما اگر فقط از محیط پیرامون دفاع کنید ، هر هکر که با موفقیت از فایر وال عبور کرده است، دارای کارت ویزیت است که می تواند خسارتهای را که میتواند وارد کند، انجام دهد.

فایروال ها همچنین در برابر تهدید داخلی کمکی نخواهند کرد، مثلاً کارمندی که می خواهد قبل از ترک شغل خود پرونده‌ها را بدزدد. یک هانی پات می‌تواند در مورد تهدیدات داخلی به همان اندازه اطلاعات خوبی را به شما بدهد و در مناطقی مانند مجوزهایی که به خودی‌ها اجازه سوء استفاده از سیستم را می‌دهند آسیب پذیری نشان دهد، و آنها را به دام بیاندازند.

سرانجام ، با راه اندازی یک هانی پات شما به سایر کاربران رایانه کمک می کنید. و هکرها بیشتر وقت خود را صرف هک کردن سیستم غیر واقعی میکنند و زمان کمتری برای هک کردن سیستم های واقعی و ایجاد صدمات واقعی برای شما یا دیگران دارند.

معایب‌های هانی پات

هانی پات ها تنها می‌توانند تحرکاتی را دنبال و شناسایی کنند که مستقیما با خودشان درگیر شوند. به عبارتی قادر نیستند حملات به سایر سیستم ها را شناسایی کنند تا زمانی که نفوذگر با خود هانی پات وارد رویارویی شود. اما اگر یک مهاجم مصمم هانی پات شما را شناسایی کند، می تواند هانی پات سیستم شما را دور بزند، و به سیستم اصلی شما حمله کند.

به طور کلی ، با استفاده از هانی پات‌ها احتمال وقوع حمله را کاهش دهید. هکرها غالباً به عنوان یک تهدید نامرئی تصور می‌شوند، اما با استفاده از هانی پات می‌توانید از اقدامات آنان در سیستم خود مطلع شوید و می‌توانید از اطلاعات بدست آمده از آنان، آنها را از گرفتن آنچه می‌خواهند متوقف کنید.

حتما بخوانید:

تفاوت سوئیچ و روتر

7 روش برای آزاد سازی فضای هارد دیسک در ویندوز