ربما سمعت عن مصطلح "مصائد مخترقي الشبكات (Honeypot)" المتداول، وتساءلت عن معنى هذا المصطلح وكيف يمكن أن يزيد أمان نظام الكمبيوتر. سيخبرك هذا المقال بكل ما تحتاج إلى معرفته حول مصائد مخترقي الشبكات وموقعها في الأمن السيبراني.
تعريف مصائد مخترقي الشبكات
يأتي أحد تعريفات مصائد مخترقي الشبكات من عالم التجسس، حيث يتم وصف الجواسيس على غرار ماتا هاري الذين يستخدمون علاقة رومانسية كوسيلة لسرقة الأسرار على أنهم يعدون "مصيدة استدراج للضحية". فغالبًا ما يتم اختراق الجاسوس العدو بمصيدة استدراج ثم يتم ابتزازه لتسليم كل ما يعرفه.
وفي إطار أمن الكمبيوتر، تعمل مصائد مخترقي الشبكات عبر الإنترنت بطريقة مماثلة، حيث يتم وضع طُعم كفخ للمخترقين. إنه نظام كمبيوتر قائم على التضحية يهدف إلى جذب الهجمات السيبرانية، مثل الطُعم. فهو يحاكي هدفًا للمخترقين، ويستخدم محاولات التسلل للحصول على معلومات حول المجرمين الإلكترونيين وطريقة عملهم أو تشتيت انتباههم عن الأهداف الأخرى.
طريقة عمل مصائد مخترقي الشبكات
تبدو المصيدة كأنها نظام كمبيوتر حقيقي، يحتوي على تطبيقات وبيانات، حيث يخدع المجرمين الإلكترونيين ليعتقدوا أنه هدف مشروع. على سبيل المثال، يمكن أن تحاكي المصيدة نظام فوترة عملاء الشركة - وهو هدف متكرر لهجوم المجرمين الذين يريدون العثور على أرقام بطاقات الائتمان. وبمجرد دخول المخترقين، يمكن تتبعهم وتقييم سلوكهم بحثًا عن أفكار حول كيفية زيادة أمان الشبكة الحقيقية.
ويتم جعل مصائد مخترقي الشبكات جذابة للمهاجمين من خلال تصميم ثغرات أمنية متعمدة. فمثلًا قد تحتوي المصيدة على منافذ تستجيب إلى فحص المنافذ أو كلمات مرور ضعيفة. وقد تُترك المنافذ الضعيفة مفتوحة لإغراء المهاجمين للدخول إلى بيئة المصيدة، بدلًا من الشبكة المباشرة الأكثر أمانًا.
إن مصائد مخترقي الشبكات ليست مُعدَّة لمعالجة مشكلة معينة، مثل جدار الحماية أو مكافحة الفيروسات. بل إنها أداة معلومات يمكنها مساعدتك في فهم التهديدات الحالية لأعمالك واكتشاف ظهور التهديدات الجديدة. وبفضل المعلومات التي يتم الحصول عليها من المصيدة، يمكن تحديد أولويات الجهود الأمنية وتركيزها.
الأنواع المختلفة من مصائد مخترقي الشبكات وطريقة عملها
يمكن استخدام أنواع مختلفة من المصائد لتحديد أنواع مختلفة من التهديدات. وتستند تعريفات المصائد المختلفة إلى نوع التهديد الذي تواجهه. وجميعها موجودة في استراتيجية الأمن السيبراني الشاملة والفعالة.
تضع مصائد البريد الإلكتروني أو مصائد البريد العشوائي عنوان بريد إلكتروني مزيفًا في موقع مخفي لن تتمكن سوى أدوات حصاد العناوين التلقائية من العثور عليه. ونظرًا لعدم استخدام العنوان لأي غرض بخلاف مصيدة البريد العشوائي، فمن المؤكد بنسبة 100% أن أي رسالة بريدية تأتي إليه ستكون ضمن البريد العشوائي. يمكن حظر جميع الرسائل التي تحتوي على المحتوى نفسه مثل الرسائل المرسلة إلى مصيدة البريد العشوائي تلقائيًا، ويمكن إضافة عنوان IP المصدر للمرسلين إلى قائمة سوداء.
يمكن إعداد قاعدة بيانات مخادعة لمراقبة الثغرات الموجودة في البرامج والتعرف على الهجمات التي تستغل بنية النظام غير الآمنة أو استخدام إدخال SQL أو استغلال خدمات SQL أو إساءة استخدام الامتيازات.
تحاكي مصيدة البرامج الضارة التطبيقات البرمجية وواجهات برمجة التطبيقات لجذب هجمات البرامج الضارة. ثم يمكن بعد ذلك تحليل خصائص البرامج الضارة لتطوير برامج مكافحة البرامج الضارة أو لإغلاق الثغرات الأمنية الموجودة في واجهة برمجة التطبيقات.
تهدف المصيدة العنكبوتية لخداع برامج الزحف على الويب ("العناكب") من خلال إنشاء صفحات ويب وروابط لا يمكن الوصول إليها إلا من برامج الزحف. يمكن أن يساعدك اكتشاف برامج الزحف في تعلم كيفية حظر برامج التتبُّع الضارة، وكذلك برامج الزحف في شبكات الإعلانات.
من خلال مراقبة حركة المرور القادمة إلى نظام المصائد، يمكنك تقييم ما يلي:
- مصدر قدوم المجرمين الإلكترونيين
- مستوى التهديد
- ما طريقة العمل التي يستخدمونها
- البيانات أو التطبيقات التي يهتمون بها
- مدى نجاح إجراءاتك الأمنية في إيقاف الهجمات الإلكترونية
يتعلق تعريف آخر للمصائد بما إذا كانت المصائد عالية التفاعل أو منخفضة التفاعل. حيث تستخدم المصائد منخفضة التفاعل موارد أقل وتجمع معلومات أساسية حول مستوى التهديد ونوعه ومصدر قدومه. فهي سهلة الإعداد وسريعة، وعادة ما تكون بها محاكاة لبعض بروتوكولات TCP وIP الأساسية وخدمات الشبكة. ولكن لا يوجد شيء في المصيدة لجذب المهاجمين لفترة طويلة جدًا، ولن تحصل على معلومات متعمقة حول عاداتهم أو التهديدات المعقدة.
من ناحية أخرى، تهدف المصائد عالية التفاعل إلى حث المتسللين على قضاء أكبر وقت ممكن داخل المصيدة، مما يوفر الكثير من المعلومات حول نواياهم وأهدافهم، بالإضافة إلى الثغرات التي يستغلونها وطريقة عملهم. يمكنك اعتبارها مصيدة بها المزيد من "الغراء"، الذي يتمثل في قواعد البيانات والأنظمة والعمليات التي يمكن أن تجذب المهاجم لفترة أطول. وهذا يمكّن الباحثين من تتبع مكان توجه المهاجمين في النظام بحثًا عن معلومات حساسة، والأدوات التي يستخدمونها لتصعيد الامتيازات أو الأدوات التي يستغلونها لاختراق النظام.
تحتاج المصائد عالية التفاعل إلى الكثير من الموارد. كما يُعد إعدادها ومراقبتها أكثر صعوبة واستهلاكًا للوقت. كما يمكن أيضًا أن تنطوي على مخاطر، فإذا لم يتم تأمين المصيدة عالية التفاعل باستخدام "جدار حماية"، فيمكن أن يستخدمها المخترقون المصممون والماكرون حقًا لمهاجمة مضيفات الإنترنت الأخرى أو لإرسال رسائل غير مرغوب فيها من جهاز مخترق.
كلا النوعين من المصائد له موقعه في مصائد الأمن السيبراني. وباستخدامهما معًا، يمكنك تنقيح المعلومات الأساسية المتعلقة بأنواع التهديدات التي تأتي من المصائد منخفضة التفاعل عبر إضافة المعلومات المتعلقة بالنوايا، والاتصالات، ونقاط الضعف المستمدة من المصائد عالية التفاعل.
باستخدام مصائد مخترقي الشبكات عبر الإنترنت لإنشاء إطار عمل معلوماتي للتهديدات، يمكن للشركات التأكد من أنها توجه إنفاقها على الأمن السيبراني إلى الأماكن المناسبة ويمكنها رؤية أماكن وجود الثغرات الأمنية فيها.
مزايا استخدام مصائد مخترقي الشبكات
يمكن أن تكون مصائد مخترقي الشبكات طريقة جيدة لكشف الثغرات الموجودة في الأنظمة الكبرى. فمثلًا يمكن أن تظهر المصيدة مستوى التهديد العالي الذي تشكله الهجمات المُنفَّذة على أجهزة إنترنت الأشياء. ويمكنها أيضًا اقتراح طرق يمكن من خلالها تحسين الأمان.
يوجد العديد من المزايا لاستخدام مصيدة مخترقي الشبكات أكثر من محاولة اكتشاف التسلل في الأنظمة الحقيقية. على سبيل المثال، بحكم التعريف، لا ينبغي أن تكون هناك أي حركة مرور شرعية في المصيدة، لذلك يُرجَّح أن يكون أي نشاط يتم تسجيله بمثابة جس نبض أو محاولة اختراق.
وهذا يجعل من السهل جدًا اكتشاف الأنماط، مثل عناوين IP المتشابهة (أو عناوين IP القادمة من بلد واحد) التي يتم استخدامها لتنفيذ مسح شبكة. على النقيض من ذلك، من السهل فقد هذه العلامات الواضحة للهجوم في ظل الازدحام عند وجود مستويات عالية من حركة المرور المشروعة على شبكتك الأساسية. إن الميزة الكبرى لاستخدام المصائد الأمنية هي أن هذه العناوين الضارة قد تكون هي الوحيدة التي تراها، مما يجعل التعرف على الهجوم أسهل بكثير.
ونظرًا لأن المصائد تتعامل مع حركة مرور محدودة جدًا، لا تحتاج إلى موارد كثيرة. فلا تفرض طلبات كثيرة على الأجهزة؛ يمكن إعداد مصيدة باستخدام أجهزة كمبيوتر قديمة لم تعد تستخدمها. وفيما يتعلق بالبرامج، يتوفر عدد من المصائد الجاهزة من المستودعات الموجودة على الإنترنت، مما يقلل من مقدار الجهد الداخلي اللازم لإعداد المصيدة وتشغيلها.
تتميز المصائد بمعدل منخفض للإنذارات الكاذبة. وهذا يتناقض بشكل صارخ مع أنظمة الكشف عن التطفل (IDS) التقليدية التي يمكن أن تنتج مستوى مرتفعًا من الإنذارات الكاذبة. ومرة أخرى، يساعد ذلك في تحديد أولويات الجهود ويحافظ على انخفاض مستوى الطلب على الموارد الذي تنتجه المصيدة. (في الواقع، باستخدام البيانات التي تم جمعها بواسطة مصائد مخترقي الشبكات وربطها بسجلات النظام وجدران الحماية الأخرى، يمكن تكوين أنظمة الكشف عن التطفل بتنبيهات أكثر صلة، لتقليل الإنذارات الكاذبة الناتجة. بهذه الطريقة، يمكن أن تساعد مصائد مخترقي الشبكات في صقل أنظمة الأمن السيبراني الأخرى وتحسينها.)
يمكن أن تمنحك مصائد مخترقي الشبكات معلومات موثوقة حول كيفية تطور التهديدات. فهي توفر معلومات حول طرق الهجوم، والثغرات، والبرامج الضارة، وفي حالة مصائد البريد الإلكتروني، فإنها توفر معلومات حول مرسلي البريد العشوائي وهجمات التصيّد الاحتيالي. نظرًا لعمل القراصنة باستمرار على تحسين تقنيات التسلل الخاصة بهم، فإن مصائد مخترقي الشبكات عبر الإنترنت تساعد على اكتشاف التهديدات والاختراقات الناشئة حديثًا. كما يساعد الاستخدام الجيد لمصائد مخترقي الشبكات في القضاء على النقاط العمياء أيضًا.
كذلك تُعد هذه المصائد أدوات تدريب رائعة لموظفي الأمن التقني. تتميز مصيدة مخترقي الشبكات بأنها بيئة خاضعة للرقابة وآمنة توضّح كيفية عمل المهاجمين وتفحص أنواعًا مختلفة من التهديدات. باستخدام هذه المصائد، لن يتشتت انتباه مسؤولي الأمن بسبب حركة المرور الحقيقية التي تستخدم الشبكة، بل سيكونون قادرين على التركيز بنسبة 100% على التهديد.
كما يمكن للمصائد اكتشاف التهديدات الداخلية. تقضي معظم المؤسسات وقتها في الدفاع عن محيطها، وضمان عدم تمكن الغرباء والمتسللين من الدخول. ولكن إذا كنت تدافع عن محيطك فقط، فإن المخترقين الذين ينجحون في تجاوز جدار حمايتك يمتلكون تفويضًا مطلقًا لإلحاق أي ضرر يمكن أن يلحقوه بالمؤسسة الآن بعد دخولهم.
ولن تساعد جدران الحماية أيضًا في مكافحة التهديدات الداخلية، كموظف يريد سرقة الملفات قبل ترك وظيفته، على سبيل المثال. كذلك يمكن أن تمنحك المصيدة معلومات بنفس الجودة حول التهديدات الداخلية وإظهار الثغرات الموجودة في بعض المناطق مثل الأذونات التي تسمح للأفراد الداخليين باستغلال النظام.
وأخيرًا، بإعداد المصيدة، فإنك في الواقع لا تكون أنانيًا وتساعد مستخدمي الكمبيوتر الآخرين. فكلما قضى المخترقون وقتًا أطول في إهدار جهودهم في مصائد مخترقي الشبكات، قل الوقت المتاح لديهم لاختراق الأنظمة الحقيقية وإحداث أضرار حقيقية بها، وذلك بالنسبة لك أنت أو الآخرين.
أخطار مصائد مخترقي الشبكات
في حين أن الأمن السيبراني باستخدام المصائد سيساعد في تحديد بيئة التهديدات، إلا أن المصائد لن تكتشف كل ما يجري، بل ستكتشف فقط النشاط الموجه إلى المصيدة. ولمجرد أن تهديدًا معينًا لم يتم توجيهه إلى المصيدة، لا يمكنك افتراض عدم وجوده؛ فمن المهم مواكبة أخبار أمن تكنولوجيا المعلومات، وليس الاعتماد فقط على المصائد لإبلاغك بالتهديدات.
سوف تخدع المصائد جيدة التكوين المهاجمين ليعتقدوا بأنهم تمكنوا من الوصول إلى النظام الحقيقي. حيث ستحتوي على نفس رسائل تحذير تسجيل الدخول ونفس حقول البيانات وحتى نفس الشكل والمظهر والشعارات الموجودة في أنظمتك الحقيقية. ومع ذلك، إذا تمكن أحد المهاجمين من اكتشاف حقيقتها، فيمكنه عندئذٍ المتابعة لمهاجمة أنظمتك الأخرى وترك المصيدة على حالها.
وبمجرد تعرف المهاجم على "حقيقة" المصيدة، يمكنه إنشاء هجمات مخادعة لصرف الانتباه عن ثغرة حقيقية يتم استهدافها ضد أنظمتك الإنتاجية. كما يمكنه أيضًا إدخال معلومات غير حقيقية فيها.
والأسوأ من ذلك أن المهاجم الذكي قد يستخدم المصيدة كطريقة للدخول إلى أنظمتك. وهذا هو السبب في أن المصائد الإلكترونية لا يمكنها أبدًا أن تحل محل ضوابط الأمان المناسبة، مثل جدران الحماية وأنظمة كشف التسلل الأخرى. ونظرًا لأن مصائد مخترقي الشبكات يمكن أن تكون بمثابة أداة لتنفيذ مزيد من الاختراقات، عليك التأكد من التأمين الجيد لجميع المصائد. يمكن أن يوفر "جدار حماية المصيدة" تأمينًا أساسيًا للمصائد ويوقف الهجمات الموجهة ضد المصيدة من الدخول إلى نظامك الحقيقي.
يُفترض أن تمنحك المصيدة معلومات لمساعدتك في تحديد أولويات جهودك في مجال الأمن السيبراني، ولكن لا تحل محل الأمن السيبراني الملائم. بغض النظر عن عدد المصائد التي تمتلكها، فكر في حزمة مثل Kaspersky's Endpoint Security Cloud لحماية أصول أعمالك. (تستخدم Kaspersky مصائدها الخاصة لاكتشاف تهديدات الإنترنت، لذلك أنت لست مضطرًا لاستخدام مصائد خاصة بك.)
بشكل عام، تتفوق مزايا استخدام مصائد مخترقي الشبكات كثيرًا على المخاطر. غالبًا ما يُنظر إلى المتسللين على أنهم تهديد بعيد وغير مرئي، ولكن باستخدام مصائد مخترقي الشبكات، يمكنك رؤية ما يفعلونه بالضبط بصورة فورية، واستخدام تلك المعلومات لمنعهم من الحصول على ما يريدون.
روابط ذات صلة
إنترنت الأشياء تعرض للهجوم:Kaspersky تكتشف أكثر من 100 مليون هجوم على الأجهزة الذكية في النصف الأول من 2019
كيفية اختراق البرامج الضارة لأجهزة الكمبيوتر وأنظمة تكنولوجيا المعلومات