ما هي زجاجة العسل وكيف تعمل؟

فتحت الإنترنت الأبواب أمام المؤسسات الخاصة والعامة للتواصل وتبادل المعلومات بسرعة. وهناك العديد من الفوائد لذلك، مثل تحسين التعاون، وتحسين الإنتاجية، وسرعة التواصل، وما إلى ذلك. ومع ذلك، تأتي بعض المخاطر مع هذه الفوائد. قد تقع مؤسستك فريسة للقراصنة الذين يمكنهم تجاوز أحدث أساليب الأمن السيبراني

فتحت الإنترنت الأبواب أمام المؤسسات الخاصة والعامة للتواصل وتبادل المعلومات بسرعة. وهناك فوائد عديدة لذلك، مثل تحسين التعاون، وتحسين الإنتاجية، وسرعة التواصل، وما إلى ذلك.

ومع ذلك، تأتي بعض المخاطر مع هذه الفوائد. فقد تقع مؤسستك فريسة للقراصنة الذين يمكنهم تجاوز أحدث أساليب حلول الأمن الإلكتروني. قد تحاول الدفاع عن نفسك من هؤلاء القراصنة باستخدام برامج مكافحة الفيروسات، أو جدار حماية، أو قائمة التحكم في الوصول (ACL) في جهاز التوجيه، أو نظام كشف التسلل (IDS).

على الرغم من بذل قصارى جهدك، قد لا يزال لديك مخترق أو متسلل يتمكن من الوصول غير المصرح به إلى نظامك. يمتلك القراصنة أحدث الأدوات لفحص الشبكة بحثاً عن الثغرات الأمنية وشن هجوم يستهدفها مباشرة، وهم يتعلمون دائماً كيفية تجاوز أنظمة الأمان الجديدة. ومع ذلك، هناك طريقة لمنع القراصنة من اختراق نظامك. يمكن أن تخدع روبوتات العسل القراصنة للاعتقاد بأنها هدف محتمل للهجوم.

تُعدّ "بؤر العسل" آلية أمنية لجذب المهاجمين وإبقائهم منخرطين فيها. حيث يتم إعداد نقطة الاختراق كطعم لفهم سلوك المهاجم. يتيح لك ذلك فهم نقاط الضعف لديك حتى تتمكن من تحسين سياساتك الأمنية.

ما هو وعاء العسل؟

يمكن أن تكون نقطة الاختراق أي مورد في مؤسستك. يمكن أن تكون برمجيات أو شبكة أو خوادم أو موجهات أو أي تطبيقات ذات قيمة عالية تمثل نفسها على الإنترنت كنظام ضعيف يمكن للمهاجمين استهدافه. 

يمكنك إنشاء جهاز كمبيوتر في شبكتك لتشغيل تطبيق honeypot. يتم عرضه بشكل متعمد على أنه مخترق في الشبكة ليتمكن المهاجمون من استغلاله.

كيف يعمل نظام العسل؟

يظهر نظام "زنزانة العسل" شرعيًا مع تطبيقات وبيانات لجعل المهاجمين يعتقدون أنه جهاز كمبيوتر حقيقي على الشبكة ويقعون في الفخ الذي نصبته.

بمجرد اختراق النظام، يمكنك استخدام أدوات إدارة الأمن لتتبع وتقييم سلوك المتسلل. إن مصيدة العسل الآن هي أداة تزودك بمعلومات حول التهديدات الحالية. باستخدام هذه المعلومات، تحصل على القرائن لبناء إطار عمل أمني أفضل.

يمكن استخدامها للتحقيق في تهديدات الأمن السيبراني والاختراقات والتقنيات التي يستخدمها المتسللون لاختراق الشبكة. من المزايا الأخرى لتطبيق نقطة عسل في شبكتك ما يلي:

1. عدد أقل من النتائج الإيجابية الخاطئة.
2. تحويل حركة المرور الضارة من الأنظمة القيّمة في الشبكة.
3. احصل على إنذار مبكر عندما يبدأ النظام في التعرض للخطر. 
4. اجمع معلومات عن المهاجمين وأساليبهم.
5. اجمع الأدلة الجنائية والقانونية دون تعريض شبكتك للخطر.

يجب أن تتأكد من عدم احتواء روبوتات العسل الخاصة بك على أي معلومات مهمة، والاستفادة من أدوات إدارة الأمن حتى تتمكن من الحصول على نظرة ثاقبة للمهاجم وأدواته وتكتيكاته وإجراءاته.

بعض الخيارات الضعيفة التي قد يبحث عنها أي دخيل لاختراق النظام هي

1. وجود كلمة مرور ضعيفة يمكن للمتطفل تخمينها بسهولة للدخول إلى النظام.
2. يستهدف معظم المتسللين نظام الفوترة الخاص بالشركة للعثور على أرقام بطاقات ائتمان العميل.
3. وجود منافذ مفتوحة يسهل تحديد موقعها عند قيام أحد المتطفلين بإجراء فحص للمنافذ.

أنواع أوعية العسل

هناك أنواع مختلفة من روبوتات العسل لأنواع مختلفة من التهديدات. يمكنك استخدام روبوتات العسل هذه في شبكتك بحيث تمنع اختراق أنظمتك. دعنا نرى بالتفصيل عن كل واحدة منها.

مصائد البريد الإلكتروني

يمكنك تعيين مصائد البريد الإلكتروني، أو مصائد البريد المزعج، في مكان مخفي لا يمكن العثور عليه إلا من قبل حاصدي العناوين الآليين. تبحث حاصدات العناوين الآلية في الإنترنت عن عناوين البريد الإلكتروني لإرسال رسائل بريد إلكتروني مجمعة أو رسائل مزعجة.

لمنع رسائل البريد الإلكتروني غير المرغوب فيها في شبكتك، يمكنك تعيين عنوان بريد إلكتروني مزيف يعمل كفخ للبريد الإلكتروني. عناوين البريد الإلكتروني هذه ليست لأي غرض محدد غير استخدامها كمصيدة بريد إلكتروني أو مصيدة بريد مزعج. أي رسالة تصل إلى مصيدة البريد الإلكتروني هي على الأرجح رسائل غير مرغوب فيها.

يمكنك الحصول على مصدر المهاجم الذي يرسل رسائل البريد المزعج في رأس HTTP ويمكنك حظرها ببساطة عن طريق تضمين عناوين IP الخاصة بالمرسل في قائمة الرفض.

قاعدة بيانات الشراك الخداع

يمكن اختراق قواعد البيانات بسهولة وسرقة البيانات عن طريق حقن SQL.

تستخدم قاعدة البيانات الخادعة تقنية الخداع. تكمن فائدة وجود قاعدة بيانات خداعية في أنها تحمي قواعد البيانات من التهديدات المجهولة. إذا تجاوز أحد المهاجمين خط دفاعك وتمكن من الوصول إلى بعض بياناتك في قاعدة البيانات، لكنه سيحتفظ بشيء غير مهم بالنسبة لك.

مصيدة البرمجيات الخبيثة

يحاكي برنامج مصيدة البرمجيات الخبيثة برنامجاً لجذب هجوم البرمجيات الخبيثة. بعد الهجوم، يمكن لمحترفي الأمن السيبراني استخدام البيانات لتحليل نوع الهجوم وسد الثغرات الأمنية أو إنشاء برمجيات مضادة للبرمجيات الخبيثة.

على سبيل المثال، يقوم مهندسو البرمجيات بتطوير برنامج Ghost USB honeypot لمحاكاة جهاز تخزين USB. إذا تعرض نظامك لهجوم من قبل برمجيات خبيثة تصيب محركات أقراص USB، فإن زنزانة العسل ستخدع البرمجيات الخبيثة لمهاجمة النظام المحاكي.

وعاء عسل العنكبوت

يقوم مهندسو البرمجيات بتصميم برامج عنكبوتية لمحاصرة برامج زحف الويب أو العناكب. فهي تنشئ صفحات ويب وروابط لا يمكن الوصول إليها إلا لبرامج الزحف الآلية. تتعرّف مصيدة العناكب على هذه العناكب على أنها روبوتات خبيثة وبرامج زحف الشبكة الإعلانية التي تهاجم نظامك.

تهتم الروبوتات الخبيثة بالزحف عبر صفحتك على الويب لجمع الروابط الخلفية، ويزور زاحف الشبكة الإعلانية موقعك لتحديد محتواه لتقديم الإعلانات ذات الصلة.

نقطة عسل منخفضة التفاعل أو عالية التفاعل

تستخدم روبوتات العسل منخفضة التفاعل موارد أقل وتجمع معلومات أساسية حول نوع التهديد ومصدره، ولا يمكنها صد المهاجمين لفترة كافية لجمع معلومات حيوية مثل سلوكهم وتعقيداتهم.

وعلى العكس من ذلك، تغري روبوتات العسل عالية التفاعل المهاجمين بالبقاء لفترة أطول من خلال إعطائهم المعلومات. كلما طالت مدة بقاء المهاجم في الشبكة، كان من الأسهل معرفة نواياه وأهدافه. تتميز هذه البؤر عالية التفاعل بميزات جذابة مثل قاعدة البيانات والأنظمة والإجراءات التي يمكن أن تشغل المهاجم لفترة طويلة.

كل من روبوتات العسل عالية التفاعل ومنخفضة التفاعل مفيدة في الأمن السيبراني. من الأفضل استخدام مزيج من كلا النوعين من روبوتات العسل. حيث أن روبوتات العسل منخفضة التفاعل هي الأفضل لمعرفة المعلومات عن نوع الهجوم، بينما تعطي روبوتات العسل عالية التفاعل تفاصيل حول نوايا المتسلل وطريقة اتصاله.

فوائد استخدام أوعية العسل

تعتبر روبوتات العسل أنظمة تمويهية، وبالتالي فهي لا تحصل على أي حركة مرور. إذا حدث ذلك، فهذا يعني أنها من متطفل. عندما يكتشفون أي تطفل، يمكنك البحث عن عنوان IP الخاص به لمعرفة البلد الذي جاء منه، وحظره إذا كان غير مرغوب فيه.   

تُعدّ أجهزة التعشيش موارد خفيفة الوزن لأنها تتعامل مع حركة مرور محدودة.

ونظراً لأنها لا تتطلب إصداراً أعلى من الأجهزة، يمكن تعيين أي جهاز كمبيوتر منخفض التهيئة لتشغيل تطبيق honeypot.

يمكنك الاستفادة من مصائد العسل المصممة خصيصًا والمتوفرة عبر الإنترنت وتنفيذ أحدها سيغني عن بذل جهد داخلي أو توظيف محترفين.

تكشف المعلومات التي توفرها روبوتات العسل عن كيفية تطور التهديدات لأنها تعطي تفاصيل حول نواقل الهجوم وعمليات الاستغلال والبرمجيات الخبيثة.

يغير القراصنة أسلوبهم في الاختراق في كل مرة، وستقوم روبوتات الاختراق الإلكتروني باكتشاف التهديدات والاختراقات الجديدة. تُعدّ روبوتات العسل أدوات ممارسة جيدة لمطوري قواعد الأمن السيبراني. فباستخدام زنزانة هوني بوت، يمكنك إيلاء المزيد من الاهتمام لمراقبة المعالجات بدلاً من مراقبة حركة المرور العادية.

التهديد ليس دائماً دخيلاً أو متطفلاً. يمكن أن يكون الدخيل قد تجاوز جدار الحماية أو يمكن أن يكون الموظف تهديدًا من خلال الكشف عن معلومات سرية أو سرقتها. في مثل هذه الحالة، لن يتمكن جدار الحماية من اكتشاف مثل هذه التهديدات.

ولكن يمكن لمصيدة "وعاء العسل" أن تجمع معلومات حول هذه الثغرات التي يشكلها المطلعون. 

الخلاصة النهائية هي أنه عندما تجعل نقطة الاختراق أكثر إغراءً للمخترقين، فإنهم يقضون وقتاً أطول في العمل عليها ويضيعون وقتهم بدلاً من التسبب في أي ضرر لأنظمتك.

خواطر ختامية

في هذا المنشور، رأينا ما هي نقطة الضعف وكيف تعمل على حمايتك من المخترقين. تكشف روبوتات العسل عن نقاط الضعف في النظام، والتي يمكن أن تكون حميدة أو خبيثة، ولكن يجب أن يكون لديك حل متكامل للأمن السيبراني لمعالجة هذه المشاكل ومساعدتك في جمع المعلومات لبناء الحل المناسب.

يمكن أن تكون تكلفة الحفاظ على نظام هوني بوت عالية لأنها تتطلب مهارات متخصصة وفريقاً من المتخصصين في الأمن السيبراني. يجب عليك تنفيذ وإدارة نظام يبدو لكشف موارد المؤسسة. ومع ذلك، فإن منع المهاجمين من الوصول إلى أي من أنظمة الإنتاج الخاصة بك هو أمر في غاية الأهمية.