دفاع فعال چیست؟
دفاع فعال استفاده از تاکتیک های تهاجمی برای پیشی گرفتن یا کم کردن سرعت یک هکر و دشوارتر کردن حملات سایبری برای مهاجمان است. یک رویکرد دفاع سایبری فعال به سازمان ها کمک می کند تا از پیشروی مهاجمان از طریق شبکه های تجاری خود جلوگیری کنند. همچنین احتمال اینکه هکرا در اثر دفاع فعال ، مرتکب اشتباه شوند و حضور خود یا بردار حمله را فاش کنند ، زیاد می شود .
دفاع فعال شامل فناوری فریب است که مهاجمان را در اولین فرصت ممکن در چرخه حمله شناسایی می کند. تکنیکهای سایبری فعال شامل طعمهگذاری دیجیتال و فریبهای دستگاهی است که سطح حمله را مبهم میکند و مهاجمان را فریب میدهد. این هدایت نادرست ، همزمان با جمع آوری داده های مهم سایبری ، زمان و قدرت پردازش مهاجمان را هدر می دهد و سرعت آنها را کند می کند.
دفاع فعال از اقدامات تهاجمی پشتیبانی می کند و گاهی اوقات می تواند متضمن حمله متقابل به مهاجم باشد.
چرا دفاع فعال مهم است؟
دفاع فعال به سازمان ها کمک می کند تا تهدیدات امنیتی احتمالی را در سریع ترین زمان ممکن شناسایی کنند. با دفاع فعال، سازمان ها می توانند نفوذهای احتمالی را قبل از سرقت داده ها، از دست دادن مالکیت معنوی و یا سایر منابع ضروری شناسایی کنند.
دفاع فعال شامل ارائه تکنیکهای مهمی می باشد که سرعت مهاجمان را کاهش داده و نفوذ یا تضعیف برنامهها، شبکهها و سیستمها را برای هکرها دشوارتر میکند. همچنین دادههای اطلاعاتی حیاتی تهدیدی را فراهم می آورد که برای درک حملات مهاجمین و در نتیجه پیشگیری از رویدادهای مشابه در آینده الزامی می باشد. مدیران فناوری می توانند این اطلاعات را در راهبردهای دفاعی سازمان به کار ببرند و واکنش به حادثه را برای جلوگیری از ظهور مجدد تهدید تقویت کنند.
به راحتی تهدیدات را شناسایی کرده و به آنها پاسخ دهید
پدافند فعال می تواند در شناسایی و پاسخ به تهدیدات بسیار موثر باشد. سازمان ها می توانند از هانی توکن ها استفاده کنند، تاکتیکی که به شرکت ها کمک می کند تا به سرعت مهاجمان را جذب کنند تا از حملات علیه سیستم های خود جلوگیری کنند.
یک مثال خوب از این پروژه Spacecrab است که کشف کرد : احتمال اینکه اعتبارنامه های هانی توکن در GitHub توسط مهاجمان استفاده شده باشد 83 درصد است. همچنین مشخص شد میانگین زمانی که یک هکر برای بهره برداری از توکن در هنگام ارسال پست می گیرد 30 دقیقه است. علاوه بر این، در یک آزمایش امنیتی که توسط شرکت پخش بریتانیا (بیبیسی) در سپتامبر 2017 پشتیبانی شد، فهرستهای بازاریابی ایمیلی را با آدرسهای ایمیل جعلی تشکیل داد. تحقیقات نشان داد که ارسال ایمیلهای فیشینگ حاوی پیوستها و لینکهای مخرب به آدرسهای جعلی ۲۱ ساعت طول میکشد.
جمع آوری اطلاعات و جلوگیری از بازگشت های آینده
سازمانها میتوانند اطلاعات مربوط به مهاجمان را با استفاده از هانی توکنها جمعآوری کنند که گاهی اوقات به عنوان تله عسل یا Honeypot نیز شناخته میشوند. هانی توکن ها منابع جعلی یا ساختگی هستند که می توانند در یک شبکه یا سیستم قرار داده شوند تا توجه مهاجمان را به خود جلب کنند. آنها می توانند یک برنامه کاربردی، یک مجموعه داده یا یک سیستم کامل باشند که در یک شبکه قرار می گیرند تا حواس مجرمان سایبری را منحرف کنند.
همچنین ، هانی توکن ها حاوی اطلاعات دیجیتالی هستند که سازمان ها را قادر می سازد تا از نظر سرقت و دستکاری داده ها نظارت کنند.
انواع هانی توکنهایی که سازمانها میتوانند از آنها استفاده کنند عبارتند از:
- ایجاد آدرس های ایمیل جعلی:
ایمیل یک بردار حمله محبوب برای مجرمان سایبری است که از این رسانه برای راه اندازی حملات فیشینگ حاوی پیوست های مخرب و لینک هایی به وب سایت های جعلی استفاده می کنند. کسبوکارها میتوانند با ایجاد آدرسهای ایمیل جعلی، که از نامهای ساختگی استفاده میکنند، از این مزیت استفاده کرده و این ایمیل های جعلی را در معرض سرور ایمیل یا وب سرور عمومی خود قرار دارد. آدرسهای ایمیل جعلی نباید استفاده شوند، اما میتوانند برای جذب پیامهای فیشینگ یا هرزنامه از مهاجمان استفاده شوند. هر پیامی که به آدرس ایمیل جعلی می رسد فقط می تواند از طریق دسترسی غیرمجاز به لیست آدرس ایمیل سازمان، سرور پست الکترونیکی یا وب سرور منتشر شده باشد. این پیام ها به سازمان ها بینش حیاتی در مورد نحوه هدف قرار دادن مهاجمان و روش های حمله فیشینگ که آنها استفاده می کنند، می دهد.
- پایگاه دادههای جعلی:
یکی دیگر از روش های محبوب دفاع فعال ، درج داده های جعلی، مانند سوابق یا محتواهای جعلی، در پایگاه های داده موجود است. هدف این است که مهاجمان را به سرقت داده های جعلی تشویق کند. این تکنیک اطلاعات مفیدی را در مورد نحوه دسترسی مهاجمان به سیستمهای شرکتی و سوء استفاده از نقاط ضعف شبکههایشان در اختیار سازمانها قرار میدهد.
- استقرار فایلهای اجرایی جعلی:
فایلهای exe جعلی به صورت برنامهها و یا برنامههای نرمافزاری ارائه میشوند که وقتی مهاجم آنها را اجرا میکند، سوئیچ «خانه تلفن» را فعال میکند. سازمان اطلاعاتی در مورد مهاجم دریافت می کند، مانند آدرس پروتکل اینترنت (IP) و جزئیات سیستم آنها، که معمولا به عنوان “هک برگشت” و یا “hack back” شناخته می شود. این رویکرد همچنین میتواند به سیستم مهاجم آسیب برساند و مقررات امنیت سایبری و حریم خصوصی را نقض کند.
- جاسازی وب بیکن ها (Web beacons) :
بیکن های وب حاوی یک پیوند اینترنتی به یک شی جاسازی شده در یک فایل بسیار کوچک که قابل مشاهده نباشد هستند. هنگامی که یک مهاجم سندی را باز می کند که شامل این پیوند ها است، سازمانی که این بیکن را ایجاد کرده است، جزئیات سیستم رایانه و مکان اینترنتی آن مهاجم را دریافت می کند.البته مانند رویکرد فایل های اجرایی جعلی، این روش متکی بر این حقیقت می باشدکه مهاجمان در برابر ترافیک خروجی و یا پورت های خارجی فایروال نصب نکرده باشند.
- استفاده از کوکیهای مرورگر:
سازمانها میتوانند کوکیهای مرورگر را طوری تنظیم کنند که بهعنوان Honeytoken عمل کنند و از مشکل مسدود کردن پورتها توسط مهاجمان با فایروال جلوگیری کنند. این رویکرد به ویژه زمانی موفق است که به خطای انسانی و اینکه مهاجمان حافظه پنهان مرورگر خود را برای مخفی کردن مکان و فعالیت آنلاین خود پاک نکنند متکی می باشد.
- راهاندازی تلههای قناری:
تلههای قناری بر افشاگرانی تمرکز میکنند که دادههایی را که نباید میفروشند و یا پخش میکنند. این روش Honeytoken از نوعی ردیاب یا نشانگر گره خورده به قطعه داده ای که افشاگر به اشتراک می گذارد استفاده می کند. برای مثال، انجمن بازیگران سینما از این تکنیک برای افشای اعضایی استفاده کرد که فیلمهای ارسال شده برای بررسی اسکار را فاش کردند.
- قرار دادن کلیدهای AWS:
پلتفرم ابری خدمات وب آمازون (AWS) از کلیدهای دیجیتال برای باز کردن زیرساخت مدیریت دسترسی خود استفاده می کند. سازمان ها می توانند این کلیدها را در مکان های مختلفی مانند دسکتاپ، مخازن GitHub و فایل های متنی قرار دهند. آنها برای مجرمان سایبری بسیار ارزشمند هستند، زیرا می توانند از کلیدها برای کنترل زیرساخت های سازمان یا دسترسی به شبکه های شرکتی استفاده کنند. با این حال، برای کشف اینکه یک کلید AWS تا چه اندازه به زیرساخت یک سازمان می رسد، مهاجم باید آن را آزمایش کند. این کلیدها دارای مکانیسمهای ورود به سیستم هستند، به این معنی که سازمانها میتوانند از آنها بهعنوان Honeytoken برای تجزیه و تحلیل، نظارت و ثبت اقدامات مهاجم استفاده کنند.
افزایش اقدامات امنیتی
پدافند فعال ابزاری حیاتی برای افزایش تدابیر امنیتی سازمان ها است. تاکتیکهای فوق به تیمهای امنیتی امکان میدهد تا اطلاعاتی را درباره تکنیکهایی که مجرمان سایبری استفاده میکنند، نحوه بهرهبرداری از آسیبپذیریها و انواع اطلاعاتی که به دنبال آنها هستند، جمعآوری کنند. این اطلاعات برای درک بهتر انگیزه های مهاجمان و اطمینان از محافظت از اقدامات امنیتی سازمان ها در برابر آخرین تهدیدات سایبری بسیار مهم است.
چگونه Fortinet می تواند کمک کند
راه حل های امنیتی فورتی نت محافظت کامل در برابر جدیدترین تهدیدات امنیت سایبری را ارائه می دهند. سیستم پیشگیری از نفوذ FortiGate (IPS) اکسپلویت ها را متصل می کند و FortiSandbox محیط های sandbox را فراهم می کند که رفتارهای مخرب را شناسایی می کند. موتور آنتی ویروس Fortinet بدافزار را شناسایی می کند، فایروال تقسیم بندی داخلی FortiGate (ISFW) از گسترش بدافزار جلوگیری می کند و فایروال های نسل بعدی Fortinet (NGFW) در برابر تهدیدات شناخته شده و در حال تکامل محافظت می کند.