محیط های مجازی به کارگیری تکنولوژی فریب را ساده تر می کنند

/
/
/

محیط های مجازی به کارگیری تکنولوژی فریب را ساده تر می کنند

مهاجمان از فریب برای تجاوز به شبکه شما استفاده می کنند. ورق را برگردانید و آنها را فریب دهید به طوری که حمله متوقف شود و به دام بیفتند.

مهاجمین نرم از فریب برای سعی در ورود به شبکه شما با انجام هر کاری از اسپوف کردن آدرس های ایمیل در حملات spear phishing گرفته تا پنهان کردن بدافزار در وب سایت های قانونی، استفاده می کنند. بنابراین اگر فریب، روال عملکرد استاندارد خلافکاران است، شاید اکنون زمان مقابله به مثل با آنها از طریق فریب هایی از طرف شماست. در حقیقت گارتنر می گوید این کار مکمل خوبی برای زیرساخت امنیتی فعلی شماست.

تکنولوژی فریب برای وسوسه کردن و به دام انداختن مهاجمان حدودا از سال 1999 زمانی که لنس اسپیتزنر بنیان گذار پروژه هانی نت، مقاله ای درباره نحوه ساخت یک هانی پات منتشر کرد، وجود داشته است.
فریب دادن یا Deception فرآیندی است که در حین آن به مهاجم اینطور القاء می شود که حمله وی موفقیت آمیز بوده است ، در همین حین سیستم در حال نظارت و پایش مهاجم بوده و وی را به سمت سیستمی که برای هک شدن ساخته شده است، هدایت می کند. این روش به مدیر سیستم این امکان را می دهد که بتواند بر روی مهاجم متمرکز شده و روش ها و تکنیک هایی که مهاجم در حمله استفاده می کند را شناسایی و چگونگی انجام شدن حمله را بررسی کند. به این فرآیند که مهاجم را فریب داده و به یک سیستم مجهول برای انجام مطالعات هدایت می کند به اصطلاح فرستادن وی به ظرف عسل یا هانی پات می گویند. مزیت این نوع واکنش این است که تمامی فعالیت هایی که هکر انجام می دهد پایش و تحلیل شده و برای انجام بررسی های بعدی در خصوص شیوه فعالیت هکرها نیز می تواند مورد استفاده قرار بگیرد.
هانی پات های اولیه منابع زیادی مصرف می کردند و باید از آنها نگهداری می شد تا مطمئن گشت که هانی نت برضد سازمان میزبان تغییر داده نشود. از آن زمان، ظهور ماشین های مجازی به تسهیل پیاده سازی و استفاده از تکنولوژی فریب کمک کرده است.
TrapX Security یکی از شرکت هایی است که از وجود ماشین های مجازی و قابلیت گسترش راهکار DeceptionGrid خود در مقیاس داخل سازمان، سود برده است. این راهکار توسط یک ارائه دهنده سرویس امنیتی (MSSP) یا توسط شرکتی که مرکز عملیات امنیتی (SOC) مخصوص به خود را دارد، می تواند گسترش داده شود. TrapX انواع مختلفی از شبیه سازها را پیاده سازی کرده است که مهاجمین را به دام می اندازند – و حتی در پاره ای از موارد وسوسه می کند – بدین ترتیب عملیات و شاخص های سازش (IOC) آنها را می توان از طریق اطلاعات عملی، کشف، آنالیز و برعلیه آنها استفاده نمود.

ابزارهای مجازی TrapX را می توان برروی VMware ESX یا Microsoft Hyper-V یا .. نصب کرد. یکی از این ابزارها امروزه می تواند تا 512 شبیه ساز همزمان را اجرا کند ولی این عدد به زودی تا 1024 و در نهایت حتی از آن نیز فراتر خواهد رفت. تعدادی اینترفیس کلیدی وجود دارد که در داخل زیرساخت شبکه متصل می شود و به TrapX اجازه می دهد کار خود را انجام دهد.

اولین آنها اتصال به پورت SPAN یا TAP در درگاه خروجی اینترنت است. این اتصال TrapX را قادر می سازد تا ترافیک هر IOC از بدافزار که ممکن است راهنمایی به بیرون باشد را مانیتور کند؛ برای مثال زمانی که ransomware برای گرفتن کلید رمزنگاری دست به کار می شود یا زمانی که یک حمله موفقیت آمیز فیشینگ به ارتباط از طریق دستورات و کنترل سرور ختم می شود. TrapX از اطلاعات گرفته شده از طیف وسیعی از منابع برای شناسایی و هشدار درباره ترافیک های مشکوک استفاده می کند.

یکی از اجزای اصلی پخش طعمه، ارتباط به سوئیچ مرکزی بر روی پورت TrapX’s trunk است. این کار TrapX را قادر می سازد هر کدام از VLAN هایی را که سوئیچ مرکزی درباره آنها می داند را ببیند و هدف هایی با آی پی آدرس پذیر یا طعمه های روی هریک از VLAN هایی که سوئیچ می شناسد، ارائه دهد.
از نقطه نظر مهاجم، این طور به نظر می رسد که هدف یا طعمه روی شبکه ای است که همه کاربران یا دستگاه ها هستند در حالی که در حقیقت همه طعمه ها شبیه سازهایی هستند که روی آن ابزار مجازی درحال اجرا می باشند.
گسترش چارچوب فریب اتوماتیک است و اصطکاک کمی دارد. TrapX از بیش از 70 ترکیب مختلف شبیه ساز از انواع ایستگاه های کاری گرفته تا لینوکس و ویندوز سرور، دستگاه های SCADA، دستگاه های پزشکی، دیتابیس ها و شبیه سازهای معمول پشتیبانی می کند. TrapX مشتری وابسته به امور بهداشت و درمانی را معرفی کرده که از شبیه ساز دستگاه های پزشکی در سراسر شبکه بیمارستان خود برای حفاظت از سیستم های حیاتی مهم استفاده کرده است.

فروشنده می تواند از محیط های با تعامل بالا پشتیبانی کند که در آن طعمه ها به عنوان نماینده در سیستم های زندگی واقعی مانند یک پایگاه داده زنده در نظر گرفته می شوند. یک ادمین می تواند صدها طعمه را که شبیه سرورهای دیتابیس هستند مورد اشاره قرار دهد ولی فقط باید نگران تغذیه و مراقبت از دیتابیسی باشد که می تواند از اطلاعات جعلی که مشابه اطلاعات مورد علاقه مهاجم هستند پر شود. اگر داده به اندازه کافی واقعی دیده شود، مهاجم ممکن تاجایی پیش برود که بخواهد آن را در بازار آزاد بفروشد زیرا فکر می کند کارت های اعتباری، طرح های پروژه یا اطلاعات حق امتیاز را در اختیار دارد.
بسیاری از تله ها نسبتا استاتیک هستند به این معنی که مهاجم فریب آنها را خواهد خورد ولی شما همچنین می توانید از فریب یا وسوسه مهاجم برای جلب توجه وی استفاده کنید. برای مثال فرض کنید مهاجمی از spear phish برای وارد شدن به ایستگاه کاری کاربری استفاده می کند. به محض ورود به راهنما نگاه خواهد کرد که ببیند چه چیز جالب توجهی وجود دارد. TrapX می تواند در آنجا طعمه هایی برای وسوسه کردن وی قرار دهد – چیزی مانند یک درایو شبکه به اشتراک گذاری شده جعلی – و بدین ترتیب مهاجم را به دام بیندازد.
اگر مهاجمی به طعمه ای دست بزند هشداری ارسال خواهد شد زیرا هیچ دلیل منطقی وجود ندارد که شخص دیگری یکی از این تله ها را انتخاب کند. این سیستم false positives (هشدار اشتباه) هم ندارد. TrapX می تواند تهدیدات داخلی را نیز به همان سادگی تهدیدات خارجی بگیرد.
زمانی که فردی در دام می افتد یک پلت فرم پاسخ حادثه پیشرفته کنترل را به دست می گیرد. TrapX همه نوع اطلاعات مرتبط مانند نرم افزاری که آلوده شده، آدرس آی پی که از آن آمده (که نشان می دهد کدام دستگاه در معرض خطر است)، فایل های باینری که می توانند علیه IOCهای شناخته شده بررسی شوند و غیره را می گیرد.
TrapX به طور خودکار اطلاعات مرتبط را برای آنالیز به یک sandbox مبتنی بر کلاد می دهد (sandbox : به طور کلی یک sandbox یک محیط پردازشی مجزا است که در آن برنامه ها یا فایل ها را می توان بدون تاثیر بر اپلیکیشنی که در آن اجرا می شوند، اجرا و بررسی کرد). TrapX یک ابزار داخلی نیز دارد که برای ساخت جدول زمانی و آنالیز استفاده می شود و کل PCAP را برای ارائه ریز اطلاعاتی درباره آنچه مهاجم انجام می دهد جمع آوری می کند. همه این اطلاعات به مرکز عملیات امنیت (TSOC) TrapX فرستاده می شود که در آنجا اگر مایل بودید به SIEM داده می شود. اگر مایل باشید هشداری دریافت خواهید کرد که شما را مستقیما به آنچه در حال رخ دادن است هدایت می کند بدین ترتیب می توانید با نفوذ رخ داده به شیوه خود برخورد کنید.
TrapX از یک اکوسیستم وسیع تر نیز با استفاده از اطلاعات مربوط به تهدیدی که دارد از طریق استانداردهای به اشتراک گذاری داده مانند STIX، TAXII و Intel Security’s DXL پشتیبانی می کند.
شاخص هایی که در یک محیط پیدا می شوند را می توان با سرعت و به طور ناشناس با بسیاری دیگر به اشتراک گذاشت.
در دنیای امروزی که محیط های مجازی اینقدر برجسته شده اند، به کارگیری و استفاده از تکنولوژی فریب بسیار ساده شده است. این تکنولوژی می تواند سلاح دیگری در مقابله با تهدیدات باشد.

نظر بدهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

It is main inner container footer text