فناوری فریب چیست و چگونه کار می کند؟

اگر می دانید که حمله ای در راه است، چرا یک طعمه را ترک نمی کنید؟

هک کردن اغلب مانند جستجو در یک کیسه بدون نگاه کردن به داخل است. اگر کیف شما باشد، می‌دانید کجا نگاه کنید و اشیا چه حسی دارند. شما می توانید در عرض چند ثانیه دست خود را به داخل بکشید و قلم را بردارید، در حالی که فرد دیگری ممکن است خط چشم بکشد.

علاوه بر این، آنها ممکن است در جستجوی خود غوغایی ایجاد کنند. آن‌ها طولانی‌تر از شما از داخل کیف عبور می‌کنند و صدایی که ایجاد می‌کنند، احتمال شنیدن آن‌ها را افزایش می‌دهد. اگر این کار را نکردید، اختلال در کیفتان به شما می‌گوید که شخصی از وسایل شما گذشته است. فناوری فریب به این شکل عمل می کند.

فناوری فریب چیست؟

فناوری فریب به مجموعه ای از تاکتیک ها، ابزارها و دارایی های فریب اطلاق می شود که تیم های آبی برای منحرف کردن مهاجمان از دارایی های امنیتی ارزشمند استفاده می کنند. در یک نگاه، مکان و خواص طعمه مشروع به نظر می رسد. در واقع، طعمه باید به اندازه کافی جذاب باشد تا مهاجم بتواند آن را به اندازه کافی ارزشمند بداند که در وهله اول با آن تعامل داشته باشد.

تعامل مهاجم با طعمه‌ها در یک محیط امنیتی داده‌هایی را تولید می‌کند که به مدافعان بینشی از عنصر انسانی پشت حمله می‌دهد. این تعامل می تواند به مدافعان کمک کند تا بفهمند یک مهاجم چه می خواهد و چگونه برای بدست آوردن آن برنامه ریزی می کند.

چرا تیم های آبی از فناوری فریب استفاده می کنند؟

هیچ فناوری شکست ناپذیر نیست، به همین دلیل تیم های امنیتی به طور پیش فرض نقض را فرض می کنند. بیشتر امنیت سایبری به این موضوع مربوط می شود که بدانیم چه دارایی ها یا کاربرانی در معرض خطر قرار گرفته اند و چگونه می توان آنها را بازیابی کرد. برای انجام این کار، اپراتورهای تیم آبی باید از میزان محیط امنیتی که محافظت می کنند و دارایی های موجود در آن محیط را بشناسند. فناوری فریب یکی از این اقدامات حفاظتی است.

به یاد داشته باشید، هدف فناوری فریب این است که مهاجمان را وادار به تعامل با طعمه ها و منحرف کردن آنها از دارایی های ارزشمند کند. چرا؟ همه چیز به زمان خلاصه می شود. زمان در امنیت سایبری ارزشمند است و نه مهاجم و نه مدافع هرگز به اندازه کافی ندارند. تعامل با یک طعمه، زمان مهاجم را تلف می کند و به مدافع زمان بیشتری برای پاسخ به تهدید می دهد.

به طور خاص، اگر مهاجمی فکر می‌کند که دارایی فریبنده‌ای که با آن تعامل داشته، معامله واقعی است، فایده‌ای ندارد که در فضای باز بماند. آنها اطلاعات دزدیده شده را استخراج می کنند و (معمولا) آنجا را ترک می کنند. از سوی دیگر، اگر یک مهاجم باهوش به سرعت متوجه شود که دارایی جعلی است، می‌دانند که کشف شده‌اند و نمی‌توانند مدت زیادی در شبکه بمانند. در هر صورت، مهاجم زمان را از دست می دهد و تیم امنیتی برای پاسخ دادن به تهدیدات، هشیار و زمان بیشتری دریافت می کند.

فناوری فریب چگونه کار می کند

بسیاری از فناوری های فریب خودکار هستند. دارایی فریب معمولاً داده هایی است که برای هکرها ارزشی دارند: پایگاه داده ها، اعتبارنامه ها، سرورها و فایل ها. این دارایی ها دقیقاً مانند دارایی های واقعی به نظر می رسند و عمل می کنند، حتی گاهی اوقات در کنار دارایی های واقعی کار می کنند.

تفاوت اصلی این است که آنها دود هستند. به عنوان مثال، پایگاه داده های فریب ممکن است حاوی نام های کاربری و گذرواژه های مدیریتی جعلی مرتبط با سرور فریب باشد. این بدان معناست که فعالیت‌هایی که شامل یک جفت نام کاربری و رمز عبور در یک سرور فریبنده یا حتی یک سرور واقعی است، مسدود می‌شوند. به طور مشابه، اعتبارنامه‌های فریب حاوی توکن‌های جعلی، هش‌ها یا بلیط‌های Kerberos هستند که هکر را اساساً به یک sandbox هدایت می‌کنند.

علاوه بر این، دودها برای هشدار تیم های امنیتی به مظنون ساخته شده اند. به عنوان مثال، هنگامی که یک مهاجم به یک سرور فریب وارد می شود، این فعالیت به اپراتورهای تیم آبی در مرکز عملیات امنیتی (SOC) هشدار می دهد. در این میان، سیستم به ثبت فعالیت‌های مهاجم ادامه می‌دهد، مانند فایل‌هایی که به آن‌ها دسترسی پیدا کرده‌اند (مثلاً در حملات سرقت اطلاعات اعتباری) و نحوه اجرای حمله (مانند حرکت جانبی و حملات انسان در وسط).

در صبح خوشحالم که می بینم. دشمن من در زیر درخت دراز شده است

یک سیستم فریب که به خوبی پیکربندی شده است می تواند آسیبی که مهاجمان می توانند به دارایی های امنیتی شما وارد کنند را به حداقل برساند یا حتی آنها را به طور کامل متوقف کند. و از آنجایی که بیشتر آن خودکار است، مجبور نیستید روز و شب آن درخت را آبیاری و آفتاب بگیرید. می توانید آن را مستقر کنید و منابع SOC را به سمت اقدامات امنیتی که نیاز به رویکرد عملی تری دارند هدایت کنید.

منبع مقاله