حسگر و سنسورهای گردآوری كننده بدافزارها با جمع آوری اطلاعات كم حجم ولی بسیار با اهمیت می توانند استراتژی های حمالت سایبری را شناسایی نمایند لذا داشتن اطلاعات بیشتر در مورد روش های متداول حمالت سایبری می تواند به رفتارشناسی مهاجمین منتج گردد .
توانمند و امن سازی ورودی های شبكه های سازمانی یكی از مهمترین اقداماتی است كه مدیران فناوری اطلاعات سازمانها آنرا بصورت جدی در دستوركار خود قرار داده اند و هر روزه بدنبال آموختن و بكارگیری متدولوژی های جدید روز هستند تا بتوانند درگاههای شبكه خود را از آماج حملات سایبری مصون دارند در این میان حسگر و سنسورهای گردآوری كننده بدافزارها می توانند بانك اطلاعاتی بسیار مفیدی باشند تا با برقراری ارتباط بین اجزای اطلاعاتی این پایگاه، بانكهای دانش مفیدی در میان سازمانها پدید آید و نهایتا كاهش احتمال حملات و یا خسارات احتمالی را برای دستگاه ها محقق سازند .
هاني پات یك تكنولوژی تقریبا جدید و شدیدا پویا هستند. همین ماهیت پویا باعث میشود كه به راحتی نتوان آنها را تعریف كرد . Honeypotها به خودی خود یك راه حل به شمار نرفته و هیچ مشكل امنیتی خاصی را حل نمیكنند، بلكه ابزارهای بسیار انعطاف پذیری هستند كه كارهای مختلفی برای امنیت اطلاعات انجام میدهند. این تكنولوژی با تكنولوژیهایی مانند فایروالها و سیستمهای تشخیص نفوذ (IDS) متفاوت است، چرا كه این تكنولوژیها مسائل امنیتی خاصی را حل كرده و به همین دلیل راحتتر تعریف میشوند. فایروالها یك تكنولوژی پیشگیرانه به شمار می آیند، آنها از ورود مهاجمان به شبكه یا سیستم كامپیوتر جلوگیری میكنند IDS .ها یك تكنولوژی تشخیصی هستند. هدف آنها این است كه فعالیتهای غیر مجاز یا خرابكارانه را شناسایی كرده و درباره آنها به متخصصان امنیت هشدار دهند. تعریف Honeypot ها كار سخت تری است، چرا كه آنها ممكن است در پیشگیری، تشخیص، جمع آوری اطلاعات ، و كارهای دیگری مورد استفاده قرار گیرند. شاید بتوان یك Honeypot را به این صورت تعریف كرد:
«Honeypotیك سیستم اطلاعاتی است كه ارزش آن به استفاده غیر مجاز و ممنوع دیگران از آن است.»
این تعریف به وسیله اعضای لیست ایمیل Honeypot انجام شده است. لیست ایمیل Honeypot یك فروم متشكل از بیش از ۵۰۰۰ متخصص امنیت است .از آنجاییكه Honeypot ها در اشكال و اندازه های مختلفی وجود دارند، ارائه تعریف جامعی از آن كار بسیار سختی است. تعریف یك Honeypot نشان دهنده نحوه كار آن و یا حتی هدف آن نیست. این تعریف صرفا ناظر به نحوه ارزش گذاری یك Honeypotاست. به عبارت ساده تر، Honeypotها یك تكنولوژی هستند كه ارزش آنها به تعامل مجرمان با آنها بستگی دارد. تمامی Honeypotها بر اساس یك ایده كار میكنند: هیچكس نباید از آنها استفاده كند و یا با آنها تعامل برقرار نماید، هر تعاملی با Honeypot غیر مجاز شمرده شده و نشانه ای از یك حركت خرابكارانه به شمار میرود. یك Honeypot سیستمی است كه در شبكه سازمان قرار میگیرد، اما برای كاربران آن شبكه هیچ كاربردی ندارد و در حقیقت هیچ یك از اعضای سازمان حق برقراری هیچگونه ارتباطی با این سیستم را ندارند. این سیستم دارای یك سری ضعفهای امنیتی است. از آنجاییكه مهاجمان برای نفوذ به یك شبكه همیشه به دنبال سیستمهای دارای ضعیف میگردند، این سیستم توجه آنها را به خود جلب میكند. و با توجه به اینكه هیچكس حق ارتباط با این سیستم را ندارد، پس هر تلاشی برای برقراری ارتباط با این سیستم، یك تلاش خرابكارانه از سوی مهاجمان محسوب میشود. در حقیقت این سیستم نوعی دام است كه مهاجمان را فریب داده و به سوی خود جلب میكند و به این ترتیب علاوه بر امكان نظارت و كنترل كار مهاجمان، این فرصت را نیز به سازمان میدهد كه فرد مهاجم را از سیستمهای اصلی شبكه خود دور نگه دارند. یك Honeypot هیچ سرویس واقعی ارائه نمیدهد. هر تعاملی كه انجام گیرد، هر تلاشی كه برای ورود به این سیستم صورت گیرد، یا هر فایل داده ای كه روی یك Honeypot مورد دسترسی قرار گیرد، با احتمال بسیار زیاد نشانه ای از یك فعالیت خرابكارانه و غیر مجاز است. برای مثال، یك سیستم Honeypot میتواند روی یك شبكه داخلی به كار گرفته شود. این Honeypot از هیچ ارزش خاصی برخوردار نیست و هیچكس در درون سازمان نیازی به استفاده از آن نداشته و نباید از آن استفاده كند. این سیستم میتواند به ظاهر یك فایل سرور، یك وب سرور، یا حتی یك ایستگاه كاری معمولی باشد. اگر كسی با این سیستم ارتباط برقرار نماید، با احتمال زیاد در حال انجام یك فعالیت غیر مجاز یا خرابكارانه است. در حقیقت، یك Honeypot حتی لازم نیست كه حتما یك كامپیوتر باشد .این سیستم میتواند هر نوع نهاد دیجیتالی باشد (معموال از آن به Honeytokenیاد میشود) كه هیچ ارزش واقعی ندارد. برای مثال، یك بیمارستان میتواند یك مجموعه نادرست از ركوردهای اطلاعاتی بیماران ایجاد نماید. از آنجاییكه این ركوردها Honeypot هستند، هیچكس نباید به آنها دسترسی پیدا كرده یا با آنها تعامل برقرار كند. این ركوردها میتوانند در داخل پایگاه داده بیماران این بیمارستان به عنوان یك جزء Honeypot قرار گیرند. اگر یك كارمند یا یك فرد مهاجم برای دسترسی به این ركوردها تلاش نماید، میتواند به عنوان نشانه ای از یك فعالیت غیر مجاز به شمار رود، چرا كه هیچكس نباید از این ركوردها استفاده كند. اگر شخصی یا چیزی به این ركوردها دسترسی پیدا كند، یك پیغام هشدار صادر میشود. این ایده ساده پشت Honeypotهاست كه آنها را ارزشمند میكند. دو یا چند Honeypot كه در یك شبكه قرار گرفته باشند، یك Honeynet را تشكیل میدهند. نوعا در شبكه های بزرگتر و متنوعتر كه یك Honeypot به تنهایی برای نظارت بر شبكه كافی نیست، از Honeynet استفاده میكنند Honeynet .ها معموال به عنوان بخشی از یك سیستم بزرگ تشخیص نفوذ پیاده سازی میشوند .در حقیقت Honeynet یك شبكه از Honeypot های با تعامل باالست كه طوری تنظیم شده است كه تمامی فعالیتها و تعاملها با این شبكه، كنترل و ثبت میشود.
اگه میخوای در رابطه با این موضوع بیشتر بدونی حتما به این لینک سر بزن :)
امیداورم مفید واقع شده باشه براتون
