فناوری فریب چیست؟
فناوری فریب (Deception Technology) یک استراتژی برای جذب مجرمان سایبری از دارایی های واقعی یک شرکت و منحرف کردن آنها به طرف یک طعمه یا تله می باشد. این فناوری سرورها، برنامهها و اطلاعات قانونی را شبیه سازی می کند . به این ترتیب مهاجم سایبری فریب می خورد که به مهمترین داراییهای شرکت نفوذ و به آن دسترسی پیدا کرده است، در حالی که در واقعیت چنین نیست.معمولا از استراتژی فریب برای به حداقل رساندن آسیب های سایبری و محافظت از دارایی های واقعی یک سازمان استفاده می شود.
هدف هر شگرد امنیتی ، محافظت در برابر دسترسیهای غیرمجاز است و فناوری فریب میتواند به عنوان یک تکنیک کاربردی پس از وقوع یک نقض مشکوک در محل قرار گیرد. منحرف کردن مجرمان سایبری به سمت داده ها و اعتبارنامه های جعلی می تواند کلید محافظت از دارایی های واقعی شرکت باشد.
یکی دیگر از مزایای فناوری فریب، تحقیق است. تحلیلگران امنیت فناوری اطلاعات با تجزیه و تحلیل چگونگی نفوذ به یک محیط امنیتی توسط مجرمان سایبری و تلاش برای سرقت آنچه که آنها معتقدند داده های قانونی است، می توانند رفتارهای مجرمانه را به طور عمیق تری مطالعه و بررسی کنند. در واقع، برخی از سازمانها یک سرور فریب متمرکز را مستقر میکنند که حرکات بازیگران مخرب را ابتدا هنگام دسترسی غیرمجاز و سپس در تعامل با فریب ثبت میکند. سرور تمام بردارهای مورد استفاده در طول حمله را ثبت و نظارت می کند و داده های ارزشمندی را که می تواند به تیم فناوری اطلاعات کمک و امنیت را تقویت کرده و از وقوع حملات مشابه در آینده جلوگیری کند ، ارائه می دهد.
جنبه منفی یا خطر فناوری فریب این است که مجرمان سایبری اندازه، دامنه و پیچیدگی حملات خود را افزایش دادهاند و در نتیجه یک نفوذ می تواند فراتر از تخمین هایی باشد که سرور فریب و داراییهای ساختگی مرتبط با آن میتوانند از عهده آن برآیند. علاوه بر این ، مجرمان سایبری ممکن است بتوانند به سرعت تشخیص دهند که خودشان فریب میخورند زیرا سرور فریب و داراییهای فریب بلافاصله برایشان آشکار میشود. به این ترتیب، آنها می توانند به سرعت حمله را متوقف کنند و احتمالاً حتی قوی تر بازگردند.
برای عملکرد صحیح، فناوری فریب نباید برای کارمندان، پیمانکاران یا مشتریان شرکت آشکار باشد.
فناوری فریب تهدید چگونه کار می کند ؟
فناوری فریب تهدید با فریب دادن مهاجم به دنبال منابع نادرست در سیستم شما کار می کند. در واقع با شبیه سازی دارایی های دیجیتال که معمولاً در زیرساخت ها موجودند کار می کند. و چون صرفاً تله یا فریب هستند ، هنگامی که یک هکر به دنبال آنها می رود، به سیستم های حیاتی تجاری آسیب نمی رسانند.
هدف فناوری فریب تهدید این است که مهاجم را فریب دهد تا فکر کند واقعاً به سیستم نفوذ کرده است. به عنوان مثال، می توانید آنها را وادار کنید فکر کنند که در حال اجرای یک حمله افزایش امتیاز موفقیت آمیز هستند. از آنجایی که آنها در فعالیتی شرکت می کنند که فکر می کنند همان حقوق یک مدیر شبکه را به آنها می دهد، آنها در واقع فقط در حال استفاده از ابزار هستند، هیچ حقوق اضافی دریافت نمی کنند، و تاثیر قابل توجهی بر زیرساخت شما ندارند.
یکی دیگر از عناصر کلیدی فناوری فریب تهدید، سیستم اطلاع رسانی است که برای ثبت فعالیت مهاجم پیکربندی شده است. هنگامی که سرور یک اعلان دریافت می کند، شروع به ضبط کارهایی می کند که هکر در منطقه خاصی که به آن حمله می کند انجام می دهد. به این ترتیب، فناوری فریب سایبری قادر است اطلاعات ارزشمندی را در مورد روشهای حمله هکرها ارائه دهد.
یکی دیگر از مزایای تکنیک های فناوری فریب این است که آنها به یک تیم فناوری اطلاعات امکان می دهند مشخص کنند کدام دارایی ها برای مهاجمان جذاب ترین هستند. به عنوان مثال، در حالی که فرض بر این است که پایگاه داده ای از اطلاعات کاربر مانند اطلاعات پرداخت، نام ها، آدرس ها و شماره های تامین اجتماعی یک هدف جذاب است، با فناوری فریب امنیتی، می توانید این امر را تایید کرد.
علاوه بر این، میتوانید با شبیه سازی از محیطهایی که حاوی انواع اطلاعات می باشند ، پی ببرید که یک هکر ، دقیقا به دنبال کدام یک می باشد. برای مثال، میتوانید پایگاههای اطلاعات جعلی حاوی شمارههای تأمین اجتماعی، نامها و آدرسها و اعتبار ورود به حساب مدیران خاص شرکت ایجاد کنید. سپس ببینید که مهاجمان کدام دارایی ها را هدف قرار می دهند. این به سازمانها بینش بیشتری در مورد آنچه مهاجمان سایبری به دنبال آن هستند می دهد.
چرا فناوری فریب مهم است؟
فناوری فریب یا فریب تهدیدات سایبری چندین مزیت کلیدی را به همراه دارد و هنوز هم جزء مهم استراتژی یک امنیت سایبری قوی محسوب می شود.
-
باعث کاهش زمان اقامت مهاجم در شبکه می شود :
دارایی های جعلی باید به اندازه کافی جذاب باشند تا مهاجمان سایبری فکر کنند که دارایی های قانونی را می دزدند. با این حال، زمانی که IT از گسترش حمله جلوگیری کند، نفوذ متوقف شده و مهاجمان متوجه می شوند که زمان کمتری تا شناسایی شدن و گیرافتادن دارند . از طرف دیگر، مهاجم هم ممکن است به سرعت متوجه حمله به دارایی های جعلی شود و در نتیجه به سرعت شبکه را ترک کند . به این ترتیب، فناوری فریب زمان ماندن مهاجم در شبکه را کاهش می دهد.
-
باعث کاهش میانگین زمان شناسایی و رفع تهدیدات می شود :
به دلیل منابع درگیر در فناوری فریب، تیمهای فناوری اطلاعات معمولاً حمله سایبری به داراییهای جعلی را یک مأموریت «ویژه» میدانند و تلاش خود را بر مطالعه رفتارها و حرکات آن متمرکز میکنند. به دلیل این تمرکز، زمانی که دسترسی غیرمجاز کشف شود یا رفتارهای غیرعادی روی دارایی های جعلی مشاهده شود، تیم فناوری اطلاعات به سرعت وارد عمل می شود. بنابراین، فناوری فریب ، میانگین زمان برای کشف و رسیدگی به تهدیدات را تسریع می کند.
-
کاهش تعدادهای هشدار :
هشدارهای امنیتی وقتی زیاد باشند، باعث خستگی تیم فناوری اطلاعات می شوند. با وجود فناوری فریب، زمانی که مهاجمان سایبری به محیط اطراف نفوذ کرده و در شرف تعامل با دارایی های جعلی هستند، به تیم اطلاع داده می شود. هشدارهای اضافی به آنها کمک می کند تا رفتارهای مخرب را درک و سپس فعالیت های مهاجم را ردیابی کنند.
کدام حملات امنیت سایبری را می توان با فناوری فریب تهدید شناسایی کرد؟
برخی از حملاتی که فناوری فریب تهدید می تواند شناسایی کند عبارتند از:
- حملات ربودن حساب:
این حملات شامل تلاش مهاجم برای تصاحب حساب شخصی با استفاده از اطلاعات کاربری سرقت شده است.
- سرقت اعتبار:
این نوع سرقت حول محور دسترسی مهاجم به لیستی از اعتبار و سپس استفاده از آنها در هک آینده است.
- حملات اینترنت اشیا:
این حملات زمانی اتفاق میافتند که یک هکر دستگاههای اینترنت اشیاء (IoT) را مورد هدف قرار میدهد و با استفاده از آنچه که ممکن است اعتبار دسترسی ضعیفتر فرض میکند،مانند رمزهای عبور پیشفرض ، برای دسترسی به شبکه یک سازمان استفاده کند.
- حملات حرکت جانبی:
این حملات شامل تلاش یک هکر برای حرکت از شرق به غرب، یا به صورت جانبی، از طریق یک شبکه است. آنها این کار را ابتدا با دسترسی به یک سیستم انجام می دهند و سپس سعی می کنند حمله خود را به سیستم های دیگری که رایانه به آنها متصل است گسترش دهند. به این ترتیب، آنها می توانند از دارایی های به هم پیوسته در سازمان شما بهره ببرند.
- Spear phishing:
زمانی اتفاق می افتد که یک مهاجم به دنبال شخص یا گروه خاصی از افراد در سازمان می رود تا سعی کند آنها را فریب دهد تا اطلاعات حساس را ارائه دهد، اما با فناوری فریب امنیت سایبری، می توانید نحوه جلوگیری از این نوع حملات را نیز یاد بگیرید.
اقدامات پیشگیرانه با فناوری فریب
- تشخیص زودهنگام پس از نقض
در حالی که هیچ نقضی هرگز مورد استقبال قرار نمی گیرد، مطالعه نقطه ورود و رفتارهای بعدی مهاجمان سایبری اطلاعات ارزشمندی برای تحلیلگران امنیت فناوری اطلاعات دارد. آنها می توانند فعالیت مهاجم را تجزیه و تحلیل کنند و داده های کلیدی را جمع آوری کنند که می تواند برای تقویت شبکه و محافظت بهتر از شرکت در برابر حملات آینده استفاده شود.هرچه فناوری فریب، از جمله سرور و برنامهها و دادههای مرتبط، قانعکنندهتر باشد، حمله ساختگی طولانیتر ادامه مییابد و IT دادههای بیشتری میتواند به دست بیاورد.
- کاهش ریسک و مثبت کاذب
با وجود چندین محصول و سیستم های امنیتی نظارت بر هویت، مجوز و فعالیت، تعداد و دفعات هشدارهایی که IT دریافت می کند می تواند به سرعت بسیار زیاد شود. بیشتر آن میتواند نویز و حتی مثبت کاذب باشد، که باعث میشود تیم فناوری اطلاعات در مواقعی که نیازی به این کار نیست واکنش نشان دهد و برعکس ، به دلیل اعلانهای هشدار زیاد، در مواقع لزوم واکنش نشان نمیدهد.
فناوری فریب، موارد مثبت کاذب را کاهش می دهد. اولین و بعدی هشدارهای مربوط به نقض می تواند به IT اجازه دهد تا بر حرکات مهاجم سایبری تمرکز کند. همچنین، خطر کاهش می یابد زیرا مهاجم با برنامه ها و دارایی های جعلی تعامل دارد.
- اندازه گیری و اتوماسیون خودکار:
مقیاس فناوری فریب به هزینه و تلاش نسبتاً کمتری نیاز دارد. سرور فریب را می توان بارها مورد استفاده قرار داد و به راحتی می توان داده های جعلی مانند شماره حساب ها و رمزهای عبور موجود را تولید کرد. هر ابزار اتوماسیون مورد استفاده برای سایر اجزای مجموعه امنیت سایبری نیز می تواند برای فناوری فریب استفاده شود.
- از مدل های قدیمی تا اینترنت اشیا
علاوه بر توانایی آن در مقیاسبندی و ادغام با سختافزار و نرمافزار موجود، فناوری فریب میتواند هم با سیستمهای قدیمی و هم با نصبهای جدیدتر اینترنت اشیا (IoT) استفاده شود. مجرمان سایبری اغلب ترجیح میدهند که سیستمهای قدیمی را نقض کنند، زیرا فکر میکنند نفوذ به آنها آسانتر است، زیرا سازمان زمان زیادی را صرف بهروزرسانی یا تقویت آنها نکرده است.