مصائد مخترقي الشبكات عبر الفخاخ التي تم تعيينها للكشف عن محاولات أي استخدام غير مصرح به لنظم المعلومات، بهدف التعلم من الهجمات على مواصلة تحسين أمان الكمبيوتر.
تقليديا، تضمن الحفاظ على أمن الشبكات العمل بيقظة، وذلك باستخدام تقنيات الدفاع القائمة على الشبكة مثل الجدران النارية، وأنظمة كشف التسلل، والتشفير. ولكن الوضع الراهن يتطلب المزيد من التقنيات الاستباقية للكشف عن محاولات الاستخدام غير المشروع لنظم المعلومات، وتحويلها ومكافحتها. في مثل هذا السيناريو، واستخدام مصائد الفيديو هو نهج استباقي وواعد لمكافحة تهديدات أمن الشبكات.
البحث هونيبوت - يستخدم هونيبوت البحوث لدراسة تكتيكات وتقنيات الدخلاء. يتم استخدامه بمثابة وظيفة مشاهدة لمعرفة كيف يعمل المهاجم عند المساومة على النظام.
هونيبوت الإنتاج - وتستخدم هذه أساسا للكشف وحماية المنظمات. والغرض الرئيسي من مصيدة الإنتاج هو المساعدة في تخفيف المخاطر في المنظمة.
لماذا إعداد مصائد
يتم وزن قيمة مصيدة من قبل المعلومات التي يمكن الحصول عليها منه. مراقبة البيانات التي تدخل ويترك مصيدة يتيح للمستخدم جمع المعلومات التي ليست متاحة على خلاف ذلك. عموما، هناك نوعان من الأسباب الشعبية لإنشاء هونيبوت:
وتستند مصائد مخترقي عموما على خادم حقيقي، ونظام التشغيل الحقيقي، جنبا إلى جنب مع البيانات التي تبدو وكأنها حقيقية. وأحد الاختلافات الرئيسية هو موقع الجهاز فيما يتعلق بالخوادم الفعلية. النشاط الأكثر حيوية من مصيدة هو لالتقاط البيانات، والقدرة على تسجيل، في حالة تأهب، والتقاط كل شيء الدخيل يقوم به. المعلومات التي تم جمعها يمكن أن تكون حاسمة جدا ضد المهاجم.
التفاعل العالي مقابل مصائد مخترقي التفاعل المنخفض
يمكن أن تتعرض للخطر مصائد مخترقي التفاعل بشكل كامل، مما يسمح للعدو بالوصول الكامل إلى النظام واستخدامه لإطلاق المزيد من هجمات الشبكة. مع مساعدة مثل هذه المصائد، يمكن للمستخدمين معرفة المزيد عن الهجمات المستهدفة ضد أنظمتهم أو حتى عن الهجمات من الداخل.
وعلى النقيض من ذلك، فإن مصائد مصايد منخفضة التفاعل وضعت فقط على الخدمات التي لا يمكن استغلالها للحصول على الوصول الكامل إلى مصيدة. هذه هي أكثر محدودية ولكنها مفيدة لجمع المعلومات على مستوى أعلى.
في حين أن مصائد مختبرات جمع كمية صغيرة من البيانات ولكن تقريبا كل هذه البيانات هو هجوم حقيقي أو النشاط غير المصرح به.
خفض إيجابية كاذبة
مع معظم تقنيات الكشف (إدس، إيبس) جزء كبير من التنبيهات هي تحذيرات كاذبة، في حين مع مصائد الفيديو هذا لا يحمل صحيح.
فعاله من حيث التكلفه
هونيبوت يتفاعل فقط مع النشاط الخبيث ولا يتطلب الموارد عالية الأداء.
التشفير
مع مصيدة، لا يهم إذا كان المهاجم يستخدم التشفير. فإن النشاط لا يزال يمكن التقاطها.
بسيط
مصائد الصوت هي بسيطة جدا لفهم ونشر وصيانة.
و هونيبوت هو مفهوم وليس أداة التي يمكن نشرها ببساطة. يحتاج المرء أن يعرف جيدا مقدما ما يعتزمون تعلم، ومن ثم يمكن تخصيص مصيدة اعتمادا على احتياجاتهم الخاصة. هناك بعض المعلومات المفيدة على .sans.org إذا كنت بحاجة إلى قراءة المزيد عن هذا الموضوع.
تقليديا، تضمن الحفاظ على أمن الشبكات العمل بيقظة، وذلك باستخدام تقنيات الدفاع القائمة على الشبكة مثل الجدران النارية، وأنظمة كشف التسلل، والتشفير. ولكن الوضع الراهن يتطلب المزيد من التقنيات الاستباقية للكشف عن محاولات الاستخدام غير المشروع لنظم المعلومات، وتحويلها ومكافحتها. في مثل هذا السيناريو، واستخدام مصائد الفيديو هو نهج استباقي وواعد لمكافحة تهديدات أمن الشبكات.
ما هو هونيبوت
وبالنظر إلى المجال الكلاسيكي لأمن الكمبيوتر، يحتاج الكمبيوتر إلى أن يكون آمنا، ولكن في مجال هونيبوتس ، يتم تعيين ثقوب الأمن لفتح على الغرض. يمكن تعريف مصائد هونيبوتس بأنها فخ الذي يتم تعيينه للكشف عن المحاولات في أي استخدام غير مصرح به لنظم المعلومات. هونيبوتس تتحول أساسا على الجداول للقراصنة وخبراء أمن الكمبيوتر. والغرض الرئيسي من هونيبوت هو الكشف والتعلم من الهجمات ومواصلة استخدام المعلومات لتحسين الأمن. وقد استخدمت مصائد مصائد الأسماك منذ وقت طويل لتتبع نشاط المهاجمين والدفاع ضد التهديدات القادمة. هناك نوعان من مصائد:البحث هونيبوت - يستخدم هونيبوت البحوث لدراسة تكتيكات وتقنيات الدخلاء. يتم استخدامه بمثابة وظيفة مشاهدة لمعرفة كيف يعمل المهاجم عند المساومة على النظام.
هونيبوت الإنتاج - وتستخدم هذه أساسا للكشف وحماية المنظمات. والغرض الرئيسي من مصيدة الإنتاج هو المساعدة في تخفيف المخاطر في المنظمة.
لماذا إعداد مصائد
يتم وزن قيمة مصيدة من قبل المعلومات التي يمكن الحصول عليها منه. مراقبة البيانات التي تدخل ويترك مصيدة يتيح للمستخدم جمع المعلومات التي ليست متاحة على خلاف ذلك. عموما، هناك نوعان من الأسباب الشعبية لإنشاء هونيبوت:
اكتساب فهم
تعرف على كيفية فحص الهاكرز ومحاولة الوصول إلى أنظمتكم. والفكرة العامة هي أنه منذ حفظ سجل أنشطة الجاني، يمكن للمرء أن يكتسب الفهم في منهجيات الهجوم لحماية أنظمة الإنتاج الحقيقية بشكل أفضل.تجميع المعلومات
جمع المعلومات الطب الشرعي اللازمة للمساعدة في القبض على القراصنة أو ملاحقتهم قضائيا. هذا هو نوع المعلومات التي غالبا ما تكون ضرورية لتزويد المسؤولين عن إنفاذ القانون بالتفاصيل اللازمة للمقاضاة.كيف مصائد مختبرات تأمين أنظمة الكمبيوتر
A هونيبوت هو جهاز كمبيوتر متصل بشبكة. ويمكن استخدام هذه البيانات لفحص مواطن الضعف في نظام التشغيل أو الشبكة. اعتمادا على نوع من الإعداد، يمكن للمرء أن يدرس ثقوب الأمن بشكل عام أو على وجه الخصوص. هذه يمكن استخدامها لمراقبة أنشطة الفرد الذي اكتسب الوصول إلى هونيبوت.وتستند مصائد مخترقي عموما على خادم حقيقي، ونظام التشغيل الحقيقي، جنبا إلى جنب مع البيانات التي تبدو وكأنها حقيقية. وأحد الاختلافات الرئيسية هو موقع الجهاز فيما يتعلق بالخوادم الفعلية. النشاط الأكثر حيوية من مصيدة هو لالتقاط البيانات، والقدرة على تسجيل، في حالة تأهب، والتقاط كل شيء الدخيل يقوم به. المعلومات التي تم جمعها يمكن أن تكون حاسمة جدا ضد المهاجم.
التفاعل العالي مقابل مصائد مخترقي التفاعل المنخفض
يمكن أن تتعرض للخطر مصائد مخترقي التفاعل بشكل كامل، مما يسمح للعدو بالوصول الكامل إلى النظام واستخدامه لإطلاق المزيد من هجمات الشبكة. مع مساعدة مثل هذه المصائد، يمكن للمستخدمين معرفة المزيد عن الهجمات المستهدفة ضد أنظمتهم أو حتى عن الهجمات من الداخل.
وعلى النقيض من ذلك، فإن مصائد مصايد منخفضة التفاعل وضعت فقط على الخدمات التي لا يمكن استغلالها للحصول على الوصول الكامل إلى مصيدة. هذه هي أكثر محدودية ولكنها مفيدة لجمع المعلومات على مستوى أعلى.
مزايا استخدام مصائد الفيديو
جمع البيانات الحقيقيةفي حين أن مصائد مختبرات جمع كمية صغيرة من البيانات ولكن تقريبا كل هذه البيانات هو هجوم حقيقي أو النشاط غير المصرح به.
خفض إيجابية كاذبة
مع معظم تقنيات الكشف (إدس، إيبس) جزء كبير من التنبيهات هي تحذيرات كاذبة، في حين مع مصائد الفيديو هذا لا يحمل صحيح.
فعاله من حيث التكلفه
هونيبوت يتفاعل فقط مع النشاط الخبيث ولا يتطلب الموارد عالية الأداء.
التشفير
مع مصيدة، لا يهم إذا كان المهاجم يستخدم التشفير. فإن النشاط لا يزال يمكن التقاطها.
بسيط
مصائد الصوت هي بسيطة جدا لفهم ونشر وصيانة.
و هونيبوت هو مفهوم وليس أداة التي يمكن نشرها ببساطة. يحتاج المرء أن يعرف جيدا مقدما ما يعتزمون تعلم، ومن ثم يمكن تخصيص مصيدة اعتمادا على احتياجاتهم الخاصة. هناك بعض المعلومات المفيدة على .sans.org إذا كنت بحاجة إلى قراءة المزيد عن هذا الموضوع.