دفاع فعال چیست؟

دفاع فعال استفاده از تاکتیک های تهاجمی برای پیشی گرفتن یا کم کردن سرعت یک هکر و دشوارتر کردن حملات سایبری برای مهاجمان است. یک رویکرد دفاع سایبری فعال به سازمان ها کمک می کند تا از پیشروی مهاجمان از طریق شبکه های تجاری خود جلوگیری کنند. همچنین احتمال اینکه هکرا در اثر دفاع فعال ، مرتکب اشتباه شوند و حضور خود یا بردار حمله را فاش کنند ، زیاد می شود .

دفاع فعال شامل فناوری فریب است که مهاجمان را در اولین فرصت ممکن در چرخه حمله شناسایی می کند. تکنیک‌های سایبری فعال شامل طعمه‌گذاری دیجیتال و فریب‌های دستگاهی است که سطح حمله را مبهم می‌کند و مهاجمان را فریب می‌دهد. این هدایت نادرست ، همزمان با جمع آوری داده های مهم سایبری ، زمان و قدرت پردازش مهاجمان را هدر می دهد و سرعت آنها را کند می کند.

دفاع فعال از اقدامات تهاجمی پشتیبانی می کند و گاهی اوقات می تواند متضمن حمله متقابل به مهاجم باشد.

چرا دفاع فعال مهم است؟

دفاع فعال به سازمان ها کمک می کند تا تهدیدات امنیتی احتمالی را در سریع ترین زمان ممکن شناسایی کنند. با دفاع فعال، سازمان ها می توانند نفوذهای احتمالی را قبل از سرقت داده ها، از دست دادن مالکیت معنوی و یا سایر منابع ضروری شناسایی کنند.

دفاع فعال شامل ارائه تکنیک‌های مهمی می باشد که سرعت مهاجمان را کاهش داده و نفوذ یا تضعیف برنامه‌ها، شبکه‌ها و سیستم‌ها را برای هکرها دشوارتر می‌کند. همچنین داده‌های اطلاعاتی حیاتی تهدیدی را فراهم می آورد که برای درک حملات مهاجمین و در نتیجه پیشگیری از رویدادهای مشابه در آینده الزامی می باشد. مدیران فناوری می توانند این اطلاعات را در راهبردهای دفاعی سازمان به کار ببرند و واکنش به حادثه را برای جلوگیری از ظهور مجدد تهدید تقویت کنند.

به راحتی تهدیدات را شناسایی کرده و به آنها پاسخ دهید

پدافند فعال می تواند در شناسایی و پاسخ به تهدیدات بسیار موثر باشد. سازمان ها می توانند از هانی توکن ها استفاده کنند، تاکتیکی که به شرکت ها کمک می کند تا به سرعت مهاجمان را جذب کنند تا از حملات علیه سیستم های خود جلوگیری کنند.

یک مثال خوب از این پروژه Spacecrab است که کشف کرد : احتمال اینکه اعتبارنامه های هانی توکن در GitHub توسط مهاجمان استفاده شده باشد 83 درصد است. همچنین مشخص شد میانگین زمانی که یک هکر برای بهره برداری از توکن در هنگام ارسال پست می گیرد 30 دقیقه است. علاوه بر این، در یک آزمایش امنیتی که توسط شرکت پخش بریتانیا (بی‌بی‌سی) در سپتامبر 2017 پشتیبانی شد، فهرست‌های بازاریابی ایمیلی را با آدرس‌های ایمیل جعلی تشکیل داد. تحقیقات نشان داد که ارسال ایمیل‌های فیشینگ حاوی پیوست‌ها و لینک‌های مخرب به آدرس‌های جعلی ۲۱ ساعت طول می‌کشد.

جمع آوری اطلاعات و جلوگیری از بازگشت های آینده

سازمان‌ها می‌توانند اطلاعات مربوط به مهاجمان را با استفاده از هانی توکن‌ها جمع‌آوری کنند که گاهی اوقات به عنوان تله عسل یا Honeypot نیز شناخته می‌شوند. هانی توکن ها منابع جعلی یا ساختگی هستند که می توانند در یک شبکه یا سیستم قرار داده شوند تا توجه مهاجمان را به خود جلب کنند. آنها می توانند یک برنامه کاربردی، یک مجموعه داده یا یک سیستم کامل باشند که در یک شبکه قرار می گیرند تا حواس مجرمان سایبری را منحرف کنند.

همچنین ، هانی توکن ها حاوی اطلاعات دیجیتالی هستند که سازمان ها را قادر می سازد تا از نظر سرقت و دستکاری داده ها نظارت کنند.

انواع هانی توکن‌هایی که سازمان‌ها می‌توانند از آنها استفاده کنند عبارتند از:

  • ایجاد آدرس های ایمیل جعلی:

ایمیل یک بردار حمله محبوب برای مجرمان سایبری است که از این رسانه برای راه اندازی حملات فیشینگ حاوی پیوست های مخرب و لینک هایی به وب سایت های جعلی استفاده می کنند. کسب‌وکارها می‌توانند با ایجاد آدرس‌های ایمیل جعلی، که از نام‌های ساختگی استفاده می‌کنند، از این مزیت استفاده کرده و این ایمیل های جعلی را در معرض سرور ایمیل یا وب سرور عمومی خود قرار دارد. آدرس‌های ایمیل جعلی نباید استفاده شوند، اما می‌توانند برای جذب پیام‌های فیشینگ یا هرزنامه از مهاجمان استفاده شوند. هر پیامی که به آدرس ایمیل جعلی می رسد فقط می تواند از طریق دسترسی غیرمجاز به لیست آدرس ایمیل سازمان، سرور پست الکترونیکی یا وب سرور منتشر شده باشد. این پیام ها به سازمان ها بینش حیاتی در مورد نحوه هدف قرار دادن مهاجمان و روش های حمله فیشینگ که آنها استفاده می کنند، می دهد.

  • پایگاه دادههای جعلی:

یکی دیگر از روش های محبوب دفاع فعال ، درج داده های جعلی، مانند سوابق یا محتواهای جعلی، در پایگاه های داده موجود است. هدف این است که مهاجمان را به سرقت داده های جعلی تشویق کند. این تکنیک اطلاعات مفیدی را در مورد نحوه دسترسی مهاجمان به سیستم‌های شرکتی و سوء استفاده از نقاط ضعف شبکه‌هایشان در اختیار سازمان‌ها قرار می‌دهد.

  • استقرار فایل‌های اجرایی جعلی:

فایل‌های exe جعلی به‌ صورت برنامه‌ها و یا برنامه‌های نرم‌افزاری ارائه می‌شوند که وقتی مهاجم آنها را اجرا می‌کند، سوئیچ «خانه تلفن» را فعال می‌کند. سازمان اطلاعاتی در مورد مهاجم دریافت می کند، مانند آدرس پروتکل اینترنت (IP) و جزئیات سیستم آنها، که معمولا به عنوان “هک برگشت” و یا “hack back” شناخته می شود. این رویکرد همچنین می‌تواند به سیستم مهاجم آسیب برساند و مقررات امنیت سایبری و حریم خصوصی را نقض کند.

  • جاسازی وب بیکن ها (Web beacons) :

بیکن های وب حاوی یک پیوند اینترنتی به یک شی جاسازی شده در یک فایل بسیار کوچک که قابل مشاهده نباشد هستند. هنگامی که یک مهاجم سندی را باز می کند که شامل این پیوند ها است، سازمانی که این بیکن را ایجاد کرده است، جزئیات سیستم رایانه و مکان اینترنتی آن مهاجم را دریافت می کند.البته مانند رویکرد فایل های اجرایی جعلی، این روش متکی بر این حقیقت می باشدکه مهاجمان در برابر ترافیک خروجی و یا پورت های خارجی فایروال نصب نکرده باشند.

  • استفاده از کوکی‌های مرورگر:

سازمان‌ها می‌توانند کوکی‌های مرورگر را طوری تنظیم کنند که به‌عنوان Honeytoken عمل کنند و از مشکل مسدود کردن پورت‌ها توسط مهاجمان با فایروال جلوگیری کنند. این رویکرد به ویژه زمانی موفق است که به خطای انسانی و اینکه مهاجمان حافظه پنهان مرورگر خود را برای مخفی کردن مکان و فعالیت آنلاین خود پاک نکنند متکی می باشد.

  • راه‌اندازی تله‌های قناری:

تله‌های قناری بر افشاگرانی تمرکز می‌کنند که داده‌هایی را که نباید می‌فروشند و یا پخش می‌کنند. این روش Honeytoken از نوعی ردیاب یا نشانگر گره خورده به قطعه داده ای که افشاگر به اشتراک می گذارد استفاده می کند. برای مثال، انجمن بازیگران سینما از این تکنیک برای افشای اعضایی استفاده کرد که فیلم‌های ارسال شده برای بررسی اسکار را فاش کردند.

  • قرار دادن کلیدهای AWS:

پلتفرم ابری خدمات وب آمازون (AWS) از کلیدهای دیجیتال برای باز کردن زیرساخت مدیریت دسترسی خود استفاده می کند. سازمان ها می توانند این کلیدها را در مکان های مختلفی مانند دسکتاپ، مخازن GitHub و فایل های متنی قرار دهند. آنها برای مجرمان سایبری بسیار ارزشمند هستند، زیرا می توانند از کلیدها برای کنترل زیرساخت های سازمان یا دسترسی به شبکه های شرکتی استفاده کنند. با این حال، برای کشف اینکه یک کلید AWS تا چه اندازه به زیرساخت یک سازمان می رسد، مهاجم باید آن را آزمایش کند. این کلیدها دارای مکانیسم‌های ورود به سیستم هستند، به این معنی که سازمان‌ها می‌توانند از آن‌ها به‌عنوان Honeytoken برای تجزیه و تحلیل، نظارت و ثبت اقدامات مهاجم استفاده کنند.

افزایش اقدامات امنیتی
پدافند فعال ابزاری حیاتی برای افزایش تدابیر امنیتی سازمان ها است. تاکتیک‌های فوق به تیم‌های امنیتی امکان می‌دهد تا اطلاعاتی را درباره تکنیک‌هایی که مجرمان سایبری استفاده می‌کنند، نحوه بهره‌برداری از آسیب‌پذیری‌ها و انواع اطلاعاتی که به دنبال آن‌ها هستند، جمع‌آوری کنند. این اطلاعات برای درک بهتر انگیزه های مهاجمان و اطمینان از محافظت از اقدامات امنیتی سازمان ها در برابر آخرین تهدیدات سایبری بسیار مهم است.

چگونه Fortinet می تواند کمک کند

راه حل های امنیتی فورتی نت محافظت کامل در برابر جدیدترین تهدیدات امنیت سایبری را ارائه می دهند. سیستم پیشگیری از نفوذ FortiGate (IPS) اکسپلویت ها را متصل می کند و FortiSandbox محیط های sandbox را فراهم می کند که رفتارهای مخرب را شناسایی می کند. موتور آنتی ویروس Fortinet بدافزار را شناسایی می کند، فایروال تقسیم بندی داخلی FortiGate (ISFW) از گسترش بدافزار جلوگیری می کند و فایروال های نسل بعدی Fortinet (NGFW) در برابر تهدیدات شناخته شده و در حال تکامل محافظت می کند.