فناوری فریب یا Deception Technology به دستهای از راهکارهای امنیت سایبری گفته میشود که با نرخ پایین هشدارهای نادرست، تهدیدات را زودهنگام شناسایی میکند. این فناوری تلههایی (مانند دامنهها، پایگاههای داده، فایلها، سرورها، برنامهها، پروندهها، اعتبارنامهها و ردپاهای مصنوعی) را در کنار داراییهای شبکه میگذارد. این فناوری به محض آنکه مهاجمی با تلهای روبهرو شود جمعآوری اطلاعات را آغاز کرده و از این اطلاعات در راستای هشداردهی با دقت بالا استفاده میکند که زمان ماندگاری مهاجم در شبکه را کاهش داده و پاسخ به حوادث را تسریع میکند.
چرا فناوری فریب اهمیت دارد؟
صرف نظر از میزان قدرت دفاعی در سازمانتان همواره این احتمال وجود دارد که مجرمان سایبری به شبکه شما نفوذ کنند. فناوری فریب باعث میشود مجرمان سایبری زمان خود را صرف کاوش داراییهای جعلی بیارزشی کنند که این دام را شما برایشان پهن کردهاید. این کار باعث اتلاف وقتشان میشود. به محض آنکه ورود غیرمجاز آنان به سیستم مشخص شود، شما یکسری مشخصه اولیه از رفتارشان بهدست میآورید و میتوانید از اطلاعات بهدستآمده علیهشان استفاده کنید.
دفاعهای فناوری فریب در عصر حاضر به شدت از اصول فریب نظامی که افرادی چون چاناکیا، سان تزو، ناپلئون و چنگیزخان برای فتح قارهها از طریق فریب، استتار و نیرنگ به کار میبردند الهام گرفته است. مدافعان در زمینه امنیت سایبری از طعمهها و تلهها در راستای گمراهکردن مهاجمان استفاده میکنند تا آنان خیال کنند امکان نفوذ به شبکه وجود دارد و در نتیجه خود را ناخواسته لو دهند.
فناوری فریب چه مزایایی دارد؟
بزرگترین مزیت فناوری فریب این است که زحمت کار را به جای مدافع بر دوش مهاجم میگذارد. اگر شبکهتان را پر از تله کرده باشید و مهاجمان بخواهند حملهای موفقیتآمیز داشته باشند، باید حمله بیعیبونقصی کنند بدون آنکه حتی با یک دارایی جعلی یا تله مواجه شوند. در صورت رخدادن هرگونه اشتباه از سوی مهاجمان شما برنده خواهید بود.
پنج مزیت اصلی فناوری فریب:
۱. تشخیص تهدید بهبودیافته: اگر روشهای تشخیص را بر اساس دقت در نظر بگیریم دو حالت وجود دارد:
- تشخیص مبتنی بر امضا: بسیار دقیق اما مختص تهدیدات مشخص
- تحلیل رفتاری و روشهای اکتشافی: پوششدهی گسترده تهدیدات اما مستعد هشداردهی نادرست
هشدارهای فناوری فریب ترکیبی از هر دو مورد را ارائه میدهند که هم دقت بسیار بالایی دارد و هم تهدیدات را بهطور گسترده پوشش میدهد.
۲. آگاهیبخشی در زمینه ریسک کسبوکار: بیشتر کنترلهای امنیتی ریسکهای موجود در کسبوکار را در نظر نمیگیرند. برای مثال نرمافزار آنتیویروس شما نمیداند که شرکتتان دارد با شرکتی دیگر ادغام میشود. با این حال فناوری فریب بهگونهای طراحی شده تا با این ریسکها همسو شود. برای مثال اگر در مسیر رونمایی از محصولی جدید هستید، میتوانید اقدامات فریب را حول همین محور تنظیم کرده و کنترلهای امنیتی را مستقیم با حوزههای ریسکپذیر همسو کنید.
۳. پوششدهی گستردهتر: فناوری فریب میتواند در سراسر سازمان شما از جمله در محیطهایی که اغلب نقاط ضعف دارند اعمال شود. این فناوری در محیط مرزی، نقاط پایانی، شبکه اکتیو دایرکتوری و در سراسر لایههای برنامه تهدیدات را تشخیص میدهد و همچنین محیطهایی نظیر SCADA/ICS (کنترل نظارتی و اکتساب داده)، اینترنت اشیا و فضای ابر که اغلب نادیده گرفته میشوند را پوشش میدهد.
فناوری فریب برخلاف راهحلهای نقطهای تمامی مراحل زنجیره کشتار سایبری را از شناسایی پیش از حمله گرفته تا بهرهبرداری، افزایش امتیاز، حرکتهای جانبی و نشت داده پوشش میدهد.
۴. هشدارهای نادرست بسیار کم: هشدارهای نادرست هر تیم امنیتی را خسته میکند. فناوری فریب بهگونهای طراحی شده که هشدار نادرست بسیار کمی میدهد زیرا تنها مهاجمان هستند که در تلههای سیستم میافتند. علاوه بر این هشدارهای این فناوری، اطلاعاتی در مورد قصد مهاجم نیز آشکار میسازند.
بیشتر تحلیلهای رفتاری از ماشین لرنینگ از الگوی مشخصی استفاده میکنند که معمولاً منجر به هشدارهای نادرست میشوند. فناوری فریب الگوی فعالیت صفر ایجاد میکند (بنابراین هر فعالیتی مستلزم بررسی است) و شاخصهای دقیقی از نقض امنیت ارائه میدهد.
۵. پاسخ هماهنگشده: پاسخ هماهنگشده یا پاسخ خودکار زمانی بیشترین فایده را دارد که امکان حمله قطعی باشد. حتی در این صورت چنین هشدارهایی معمولاً نیازی به هماهنگی ندارند زیرا دستگاهی که وظیفه پاسخدهی را دارد به مدیریت بازسازی نیز میپردازند (مانند قرنطینه آنتیویروس).
هشدارهای فناوری فریب کاملاً قطعی و زمینهمحور هستند. بنابراین شما میتوانید سناریوهای پیچیدهتری را بچینید (مثلاً طراحی اعتبارنامههای ساختگی که به محیط تله هدایت و سپس در آنجا مسدود شوند) یا برنامههای خاصی را هدف قرار دهید (مثلاً حسابی که به تله سرور بانکی سوئیفت دسترسی پیدا میکند در سرور سوئیفت واقعی مسدود شود).
فناوری فریب چگونه کار میکند؟
فناوری فریب از تکنیکهای دفاع فعال استفاده میکند تا شبکهتان را به محیطی ناسازگار برای مهاجمان تبدیل کند. فناوری فریب امروزی مشابه با هانیپاتها شبکه شما را با منابع جعلی پر میکند که شبیه داراییهای واقعی هستند با این تفاوت که کاربران قانونی هرگز دسترسی به آنها ندارند. سپس این فناوری با استفاده از هشدارهای مبتنی بر فریب فعالیتهای مخرب را شناسایی میکند، هوش تهدید را شکل میدهد، حرکتهای جانبی را متوقف میسازد و پاسخ تهدید را با مهار تهدید هماهنگ میکند. فناوری فریب تمامی این فعالیتها را بدون هرگونه نظارت انسانی انجام میدهد.
هنگامی که مهاجمی را در شبکه خود شناسایی کردید میتوانید در لحظه محیط فریبآمیز را بر اساس دانشی که از حمله بهدست آوردید دستکاری کنید. برخی موقعیتهای ممکن عبارتند از:
- گمراهسازی مهاجمان بهکمک جعل داراییها یا حذف آنها
- تولید ترافیک شبکه، اعلان هشدارها یا پیامهای خطا برای تشویق رفتاری خاص از جانب مهاجمان
- مخدوشکردن تصور مهاجمان از محیط سازمان
- ایجاد موقعیتهایی برای مجبورساختن مهاجمان در راستای افشای اطلاعات درباره هویت و مبدأ خود
فناوری فریب کاری فراتر از ایجاد موانع اضافی در مسیر مهاجمان سایبری انجام میدهد. این فناوری برگرفته از این است که بیشتر مهاجمان از تمامی وجوه محیطی که سعی در نفوذ به آن دارند اطلاع ندارند؛ پس آنها نمیتوانند تشخیص دهند چه جنبههایی واقعیست و چه جنبههایی ساختگی. این امر قدرت عمل را از مهاجمان گرفته و آن را به مدافعان میدهد، خواستههای مهاجمان را آشکار میسازد و نشان میدهد چرا چنین قصدی دارند و چگونه هدف خود را دنبال میکنند.
مقایسه فناوری فریب امروزی با هانیپاتها
هانیپات اولین ابزار فریب در امنیت اطلاعات بود که در چند دهه پیشین ظهور کرد و هنوز هم مورد استفاده قرار میگیرد. هانیپاتها داراییهای بدون حفاظت اما تحتنظارت هستند که مختص جذب مهاجمانی که به شبکه نفوذ کردهاند طراحی شدهاند. تیمهای امنیتی عملیات پس از دسترسی به هانیپات میتوانند درباره مهاجم اطلاعات کسب کنند یا حملات را متوقف سازند.
فناوریهای فریب قدیمی مانند هانیپاتها و موارد مشابه اساساً تکنیکهای واکنشی دارند. آنها سریع منسوخ شده و نمیتوانند با تاکتیکهای متغیر مهاجمان همگام شوند؛ امری که تشخیص و ماندگاری مهاجمان در شبکه را آسانتر میکند. هانیپاتها و هانینتهای موجود در اینترنت در صورت تشخیصندادن فعالیتها و عدم شناسایی هدفمند میتوانند هشدارهای نادرست زیادی دهند.
مشکلات فناوریهای تشخیص قدیمی
روشهای فریب سایبری بر این فرض عمل میکنند که مهاجمان به امنیت شما حمله کردهاند و به شبکه، نقاط پایانی، سیستمعاملها و برنامههای شما دسترسی دارند. سایر روشهای تشخیص تهدید برای هشداردهی به تیمهای امنیتی در برابر حملات پیچیده امروزی کافی نیستند. ابزارهای تشخیص قدیمی مانند فایروالها و تشخیص نقاط پایانی که هر کدام متناسب با نوع خاصی از امنیت (شبکه، برنامه، نقطه پایانی، دستگاههای اینترنت اشیا و…) طراحی شدهاند اغلب به صورت مجزا از یکدیگر کار میکنند. این امر مشکلاتی را ایجاد میکند نظیر:
- هشداردهی با دقت پایین: این ابزارها فقط فعالیتهای بخش زیرساخت امنیتی خود را تشخیص میدهند.
- زمان بررسی طولانیتر: تحلیلگران امنیتی باید بین چندین ابزار در تکاپو باشند تا حمله و آسیب را کشف کنند.
- نرخ بالای هشدارهای نادرست: این نرخ بالا منجر به بیاهمیتشدن نسبت به هشدارها میشود. نظرسنجی در سال ۲۰۲۱ از شرکت ESG نشان داد که ۴۵٪ از هشدارهای ابزارهای امنیتی تحتوب و API پاسخدهندگان نادرست بودهاند.
علاوه بر این بسیاری از فناوریهای تشخیص بدافزار بسیار بهتر از حملات انسانی، خواه تهدیدات خارجی خواه تهدیدات داخلی، عمل میکنند. هکرهای پیشرفته برای جلوگیری از شناساییشدن در تقلید از رفتارهای کاربران قانونی مهارت دارند. با این حال این هکرها در پلتفرمهای فریب به محض مواجهه با اولین تله خود را لو میدهند.
فناوری فریب چه نوع تهدیداتی را تشخیص میدهد؟
شما میتوانید از فناوری فریب در تشخیص تهدیدات حول محور زنجیره کشتار از مرحله شناسایی تا سرقت داده استفاده کنید. این کاربردها در سه دسته کلی قرار میگیرند:
- دفاع فریب در محیط مرزی: معمولاً امکان نظارت بر تمام ترافیک ورودی جهت تشخیض تهدیدات بالقوه وجود ندارد. ساخت داراییهای فریبنده عمومی این مشکل را ساده کرد.
- دفاع فریب در شبکه: با قراردادن تلهها در مکانهایی که مهاجمان ممکن است کاوش کنند اما کاربران قانونی هرگز نیازی به دسترسی به آنها ندارند میتوان حملات در حال پیشروی را شناسایی کرد.
- دفاع فریب در نقاط پایانی: تلههای نقطه پایانی در دید مهاجمان شبیه داراییهای ارزشمندی هستند که جهت استخراج آسان داده آماده شدهاند. نظارت بر این داراییها میتواند رفتارهای مشکوک را تشخیص دهد.
آیا سازمانتان به استفاده از فناوری فریب نیاز دارد؟
مدیران سازمانها تا سالهای اخیر فکر میکردند که فریب سایبری عمدتاً در سازمانهای بسیار بزرگ موردنیاز است. اما امروزه سازمانهای متوسط و کوچک نیز میتوانند از مزایای این فناوری استفاده کنند. این روزها فناوری فریب به مزیتی اصلی بین تمام سازمانها تبدیل شده است.
این سازمانها ممکن است حداقل نیازهای امنیتی اولیه را رعایت کرده باشند اما نیاز است بتوانند تهدیدات جدیتر را نیز تشخیص دهند. آنها به راهحلی نیاز دارند که:
- راهاندازی و نتیجه سریع داشته باشد
- طریقه استفاده آسان و کمهزینه داشته و مناسب تیمهای امنیتی کوچک باشد
- مختص بخش خاصی نباشد زیرا این دست از سازمانها بودجه کافی برای راهاندازی چندین فناوری را ندارند
- تمامی نقاط از جمله محیطهایی مانند فضای ابری و اینترنت اشیا را پوشش دهد
فناوری فریب تمامی این موارد را تأمین میکند و باعث میشود سازمانها در برابر تهدیدات هدفمند و پیشرفته عمل کنند. منبع
مفتخریم از اینکه دقایقی در کنار شما بوده ایم
آژانس دیجیتال مارکتینگ نتکا