تنظیم فایروال مبتنی بر Honeypot برای جلوگیری از حمله
هانی پات (Honeypot) یک تکنیک به دام انداختن شناخته شده است که توسط متخصصان امنیت شبکه و اینترنت اشیا (IoT) برای فریب دادن مزاحمان استفاده می شود. برخلاف اقدامات امنیتی سنتی، در این روش می توان اطلاعات را در زمان واقعی از مهاجم در مورد نحوه حمله دریافت کرد. فایروال شبکه از سرورهای اینترنت در برابر ترافیک ناخواسته و مخرب محافظت می کند. شناسایی باج افزار با سیستم های امنیتی موجود مانند IDPS (سیستم تشخیص نفوذ و حفاظت) و AV (آنتی ویروس) دشوار و وقت گیر است.
- مقایسه فایروال با WAF: فایروال برنامه وب و فایروال های شبکه
- باج افزار به عنوان یک سرویس (RaaS) چیست؟
در این مقاله، یک هانی پات ترکیبی جدید در داکر (Docker) برای تشخیص رفتار مهاجم برمبنای تنظیم فایروال پیشنهاد شده است. این روش پیشنهادی شامل هر دو حالت هانی پات با تعامل کم و هانیپات با تعامل بالا برای جذب مهاجم مخرب و تجزیه و تحلیل الگوهای رفتاری است.در واقع نوعی طعمه که برای شناسایی یا مسدود کردن حملات، یا منحرف کردن توجه مهاجم از خدمات قانونی و تنظیم فایروال طراحی شده است. در این روش فعالیت باج افزار، روند حمله و تصمیم گیری به موقع از طریق استفاده از یک قانون موثر شناسایی شده و سپس فایروال تنظیم می شود . چارچوب پیشنهادی با روشهای موجود مانند HyInt، IDS و IDS مبتنی بر هانی پات مقایسه میشود. سیستم پیشنهادی دارای دقت بالاتر حدود 86% است در حالی که سیستم های موجود فعلی در بازار مانند HyInt، IDS و IDS مبتنی بر هانی پات به دقت های 73.25%، 76.75% و 81.25% دست یافته اند.
داکر (Docker) یک پلتفرم نرمافزاری است که عملیات ساخت، اجرا، مدیریت و توزیع اپلیکیشنها را سادهتر میکند. داکر این سادهسازی فرایند ایجاد اپلیکیشنها را به وسیله مجازیسازی سیستم عامل کامپیوتری انجام میدهد که اپلیکیشن قرار است روی آن نصب و اجرا شود. در واقع، داکر مجموعهای از محصولات پلتفرم به عنوان یک سرویس (PaaS) است که از مجازیسازی در سطح سیستم عامل برای تولید بستههای نرمافزاری استفاده میکند.
اهمیت هانی پات در اینترنت اشیاء
اینترنت اشیا (IoT) یکی از امیدوارکنندهترین فناوریها برای ایجاد شبکهای از ماشینها و ابزارهای هوشمند در سراسر دنیا می باشد که در نهایت تقریباً تمام جنبههای زندگی ما را تحت تأثیر قرار میدهند. سیستمهای اینترنت اشیا ، اغلب به عنوان مجموعهای از دستگاههای زیربنایی مدلسازی و توسط الگوریتمهایی با هدف بهبود عملکرد برنامه ریزی می شوند. حجم عظیمی از داده ها توسط نودهای اینترنت اشیا جمع آوری می شود. این داده ها با استفاده از فناوری های مختلفی مانند محاسبات لبه، رایانش مه یا محاسبات مه (fog computing) و محاسبات ابری تجزیه و تحلیل می شوند. در رایانش ابری، داده های ارائه شده از یک شبکه IoT به اشتراک گذاشته می شود و می تواند با حداقل تعامل مدیریت یا ارائه دهنده خدمات، به سرعت ارائه و منتشر شود. یک مهاجم یا مزاحم سیستم در حال حاضر بزرگترین تهدید برای امنیت شبکه IoT است .
با استفاده از برنامه های وب، مجرمان سایبری شانس بیشتری برای به دست آوردن اطلاعات خصوصی کاربران دارند. اولین قدم در پیشگیری از حملات سایبری ، درک ماهیت و ابزارهای حملات می باشد. یکی از راه های تشخیص حملات با این ماهیت استفاده از هانی پات است. به منظور جذب مهاجمان و نظارت بر اقدامات آنها، هانی پات ها عمداً در معرض فعالیت های مخرب قرار می گیرند .تا کنون هانی پات ها برای مطالعه و تجزیه و تحلیل چندین جرایم سایبری مانند ایمیل های ناخواسته، فیشینگ، سرقت هویت و حملات انکار سرویس استفاده شده اند . تا حد زیادی تکنیک های مبهم سازی ویروس و پلی مورفیسم از تمایز بات نت های خاص از میزبان های کمتر خطرناک توسط این الگوریتم های تشخیص بات نت جلوگیری می کند.
چندریختی یا پلیمورفیسم (Polymorphism )، هنر بهرهبرداری از این ویژگی ساده و در عین حال قدرتمند و کاربردی است که متدلوژی شیگرایی را به حد کامل تواناییاش میرساند. مفهوم چندریختی ویژگی است که به رابطها امکان میدهد تا برای گروهی از عملیاتها مورد استفاده قرار گیرند.
هانی پات وسیله ای است که نقشه حمله مهاجم را ثبت وضبط می کند. بنابراین حمله توسط هانی پات نه متوقف می شود و نه کند می شود. برای دستگیری یک مهاجم، این طعمه باید خود را به عنوان یک محیط واقعی نشان دهد و مهاجمین را به سوی خود سوق دهد. مهاجمان به اشتباه Honeypot ها را یک سیستم کاربردی فرض کرده و به آنها حمله می کنند. با استفاده از اطلاعات ارائه شده توسط Honeypot می توان سیستم های با امنیت بالا ایجاد کرد.
در سال 2018، المهندی،یک تکنیک جدید اطلاعات تهدید را پیشنهاد کرد که دادههای گزارش هانی پات را برای شناسایی رفتار مهاجم و یافتن روند حمله ارزیابی میکند. آنها یک هانی پات را روی یک ابر AWS برای جمعآوری دادههای گزارش حوادث سایبری راهاندازی کردهاند تا به این هدف دست یابند.در همین سال ، راوجی، چارچوب و مدلی را پیشنهاد کردند که برای هماهنگی IDPS (سیستم تشخیص نفوذ و حفاظت) و استفاده از هانی پات توسط یک سازمان مؤثر باشد. یک سیستم پیشگیری از نفوذ پیشنهادی که از هر دو تشخیص ناهنجاری (AD) و تشخیص امضا (SD) برای شناسایی حملات مختلف و جلوگیری از دسترسی آنها (IPS) استفاده می کند.
روش پیشنهادی هیبریدی در شکل زیر ارائه شده است که دارای یک سرور ترکیبی Honeynet با سیستم تعامل کم و تعامل بالا در لایه DMZ در شبکه است. ترافیک توسط سرور Honeypot ضبط و تجزیه و تحلیل می شود و هرگونه حمله مستقیم را شناسایی کرده و اطلاع رسانی می کند و در پایگاه داده ذخیره می شود. سپس بر اساس قوانین تدوین شده، فرآیند مخرب توسط فایروال شناسایی و حذف شده است. در این تحقیق از رفتار مهاجم و همچنین ابرداده برای رسیدگی به مشکل استفاده می شود.
حملات باج افزارهای اخیر نشان داده است که در تمام دستگاه های IoT، شامل رایانه های رومیزی، تلفن های هوشمند و شبکه های ابری، در برابر این بدافزارها آسیب پذیر هستند. برای غلبه بر این مشکلات، یک روش تشخیص پس از حمله مبتنی بر Honeypot پیشنهاد و اجرا شده است. در این روش در درجه اول برای ایجاد فایل های نادرست و پوشه های فریب در هر پارتیشن دیسک استفاده می شود تا معیارهای رمزگذاری باج افزار را برآورده کند. برای اینکه مهاجم نتواند ابتدا فایل واقعی را رمزگذاری کند، ابتدا پوشه decoy رمزگذاری می شود. پوشه های Decoy به صورت تصادفی در صورت حملات باج افزار تولید می شوند و حاوی فایل های تصادفی از همه نوع هستند. نتیجه در پایگاه داده ذخیره می شود که برای تنظیم فایروال قابل دسترسی است.
هانی نت هیبریدی
در حالی که شبکهها را برای رفتارهای بالقوه مضر رصد میکنند، سیستمهای تست نفوذ نیز نسبت به تولید آلارمهای کاذب آسیبپذیر هستند. از این رو یک سیستم Honeynet ترکیبی که رفتار مهاجم را ثبت می کند مفید می باشد. هانی پات ها در خوشه هایی به نام Honeynets دسته بندی می شوند تا از تبدیل شدن به واحدهای مستقل جلوگیری کنند. هانی نت ترکیبی از هر دو هانی پات با تعامل کم و هانی پات با تعامل بالا تشکیل شده است.
- «شرکت فنی-مهندسی نوآوران افراتک هوشمند» این ابزارهای آزمون نفوذ ( pentest ) و ارزیابی امنیتی را تامین و پشتیبانی مینماید.
- نگاه کلی به عملکرد سرویس امنیتی FortiGuard IPS
- مقایسه WAF با IPS
فایروال ها و سیستم های IDS/IPS می توانند از این دانش برای افزایش ظرفیت خود برای مقابله با چنین حملات تحلیل شده استفاده کنند. خروجی Honeypot می تواند برای یافتن امضاهای تهدید جدید، آدرس های IP لیست سیاه، ناهنجاری های پروتکل نقشه و غیره استفاده شود. در نتیجه هانی پات یک ابزار تحلیلی و علمی مفید است. برای استخراج تمام ویژگیها از مجموعه دادههای باجافزار، یک اتوماسیون جاوا اجرا میشود که ساختار آن را در نظر میگیرد. چند ویژگی میزبان و شبکه نیز در نظر گرفته شده است.