تهدف تقنية الخداع إلى خداع المهاجمين من خلال توزيع مجموعة من الفخاخ الخادعة عبر البنية التحتية للنظام لتقليد الأصول الحقيقية، يقوم الخادم بتسجيل ومراقبة ناقلات الهجوم المستخدمة طوال مدة الهجوم، يمكن تشغيل هذه الخدعة في بيئة نظام تشغيل افتراضية أو حقيقية وهي مصممة لخداع المتسللين ليعتقدوا أنهم اكتشفوا طريقة لسرقة بيانات الاعتماد.
فوائد تقنية الخداع في أمن البيانات
تقليل وقت بقاء المهاجم على الشبكة
تقليل الوقت الذي يقضيه المهاجم على شبكته وتسريع متوسط الوقت لاكتشاف التهديدات ومعالجتها، بالإضافة الى إعداد المقاييس المحيطة بمؤشرات التسوية (IOCs) والتكتيكات والتقنيات والإجراءات (TTPs).
سيتوقف التسلل عندما تحبط تكنولوجيا المعلومات الهجوم من الانتشار ويكتشف المهاجمون أنه سيتم اكتشافهم، نتيجة لذلك، قد يغادر المهاجم بسرعة، مدركًا أن محاولته فاشلة، تقلل تقنية الخداع من وقت بقاء المهاجم على الشبكة.
- “IOCs” اختصار ل “inversion of control”.
- “TTPs” اختصار ل “Hype Text Transfer Protocol Secure “.
كشف محاولات تخمين كلمة المرور
بمجرد أن يتمتع المهاجم بوصول داخلي إلى الشبكة، فمن المحتمل أن يحاولوا استخدام القوة العمودية والاستعلام عن (Active Directory) وهي عبارة عن قاعدة بيانات يتم تثبيتها على السيرفر للسماح لمدير النظام بإضافة مستخدمين لرؤية القائمة الكاملة للمستخدمين وتجربة عدد صغير من كلمات المرور الشائعة الاستخدام عبر هذه الحسابات.
اكتشاف استخدام أوراق الاعتماد المسروقة
بمجرد اختراق المهاجم لنقطة نهاية، يمكنه استخراج تجزئة كلمة المرور وحتى بيانات اعتماد النص الواضح، دون الحاجة إلى برامج ضارة خارجية، على الرغم من أن حلول اكتشاف نقطة النهاية والاستجابة لها قد تكون قادرة على تحديد تصعيد الامتيازات وعمليات الاستغلال الضارة الأخرى، إذا تم استخدام بيانات الاعتماد في أي مكان آخر على الشبكة، مثل تمرير التجزئة، فسيتم تنبيه المستخدم تلقائيًا.
البحث
من خلال تحليل كيفية كسر مجرمي الإنترنت المحيط الأمني ومحاولة سرقة ما يعتقدون أنه بيانات مشروعة، يمكن لمحللي أمن تكنولوجيا المعلومات دراسة سلوكهم، حيث تقوم بعض المنظمات بنشر خادم خداع مركزي يسجل تحركات الجهات الخبيثة، عندما يحصلون على وصول غير مصرح به يقوم الخادم بمراقبة جميع المتجهات المستخدمة بالهجوم.
تعجيل متوسط الوقت لاكتشاف التهديدات ومعالجتها
عند اكتشاف وصول غير مصرح به أو ملاحظة سلوكيات غير عادية، فإن تكنولوجيا المعلومات سوف تتحرك بسرعة، لذلك، تعمل تقنية الخداع على تسريع متوسط الوقت لاكتشاف التهديدات ومعالجتها، مما يوفر بيانات قيمة يمكن أن تساعد فريق تكنولوجيا المعلومات على تعزيز الأمان ومنع حدوث هجمات مماثلة في المستقبل.
تقليل إجهاد التنبيه
يمكن أن يؤدي وجود عدد كبير جدًا من تنبيهات الأمان إلى إرباك فريق تكنولوجيا المعلومات بسهولة، مع وجود تقنية الخداع، يتم إخطار الفريق عندما يخترق المهاجمون الإلكترونيون المحيط ويكونون على وشك التفاعل مع الأصول الخادعة، ستساعدهم التنبيهات الإضافية على فهم السلوك الضار ومن ثم تتبع أنشطة المهاجم.
تحسين الكشف عن التهديدات
الاكتشاف القائم على التوقيع، والذي يتميز بالدقة العالية ولكنه شديد التحديد بالتهديد وتحليل السلوك والاستدلال، والتي لها تغطية واسعة للتهديدات، ولكنها عرضة للإيجابيات الكاذبة.
الوعي بمخاطر الأعمال
يمكن أن يتماشى الخداع جوهريًا، على سبيل المثال، إذا كان المستخدم يطلق منتجًا جديدًا، فيمكنه إنشاء تدابير خداع حول هذا الإطلاق، ومحاذاة الضوابط الأمنية بإحكام مع المناطق التي يرى فيها خطرًا.
تغطية أكبر
يمكن تطبيق الخداع على نطاق واسع عبر المؤسسة، بما في ذلك البيئات التي غالبًا ما تكون نقاط عمياء، يمكن للخداع اكتشاف التهديدات في المحيط ونقاط النهاية وفي الشبكة وفي (Active Directory) وعبر طبقات التطبيق، بالإضافة إلى تغطية البيئات التي غالبًا ما يتم تجاهلها مثل (IoT) والسحابة.
- “IoT” اختصار ل “Internet of Things”.
ايجابيات كاذبة منخفضة للغاية
يمكن للإيجابيات الكاذبة أن تترك أي فريق أمني متعبا، ينتج عن الخداع بطبيعته عدد قليل جدًا لا يجب أن يكون لأي شخص سوى المهاجم، علاوة على ذلك، توفر التنبيهات سياقًا حول نية المهاجم.
حيث تستخدم معظم تحليلات السلوك التعلم الآلي للإبلاغ عن الحالات الشاذة من خط الأساس، والذي يميل إلى إنشاء إيجابيات خاطئة، يؤسس الخداع خط أساس لنشاط صفري لذا فإن أي نشاط على الإطلاق يستدعي التحقيق.
استجابة منسقة
تكون الاستجابة المنسقة التلقائية مفيدة للغاية عندما يكون حدث التشغيل مؤكدًا بنسبة 100٪. حتى مع ذلك، لا تحتاج مثل هذه التنبيهات عادةً إلى تنسيق لأن المنتجات التي تنشئها تتعامل بالفعل مع العلاج، على سبيل المثال، الحجر الصحي لمكافحة الفيروسات، إن تنبيهات الخداع مؤكدة وسياقية، بشكل عام، أكبر فائدة للخداع أنه يضع عبء النجاح على المهاجم بدلاً من المدافع.
الكشف المبكر عن الاختراق
على الرغم من عدم الترحيب بأي خرق على الإطلاق، فإن دراسة نقطة الدخول والسلوكيات اللاحقة للمهاجمين الإلكترونيين تحمل معلومات قيمة لمحللي أمن تكنولوجيا المعلومات، يمكنهم تحليل نشاط المهاجم وجمع البيانات الأساسية التي يمكن استخدامها لتعزيز الشبكة وحماية المؤسسة بشكل أفضل من الهجمات المستقبلية.
حيث انه كلما زادت إقناع تقنية الخداع، بما في ذلك الخادم والتطبيقات والبيانات المرتبطة به، كلما طالت مدة الهجوم الوهمي وزادت البيانات التي يمكن أن تسحبها تكنولوجيا المعلومات.
مقياس وأتمتة حسب الرغبة
تتطلب تقنية خداع التحجيم تكلفة وجهد أقل نسبيًا، يمكن استخدام الخادم الخادع وإعادة استخدامه، ومن السهل إنشاء بيانات مزيفة، مثل أرقام الحسابات وكلمات المرور غير الموجودة، كما يمكن أيضًا استخدام أي أدوات أتمتة مستخدمة للمكونات الأخرى لمجموعة الأمن السيبراني لتقنية الخداع.
كشف التهديدات الخارجية
تعمل العديد من تقنيات الكشف الحالية بشكل افضل ضد البرامج الضارة مقارنة بالهجمات الأخرى، سواء كانت تهديدات خارجية او من الداخل، الجهات الفاعلة الخبيثة المتقدمة الأكثر تعقيدا من المتسللين، بارعون في تقليد سلوكيات المستخدمين المشروعة للبقاء غير مكتشفة، ومع ذلك، عند مواجهة منصات الخداع، يكشف هؤلاء الممثلون عن انفسهم.
التحقيق مع المتسللين
بمجرد دخول المهاجمين إلى بيئة الخداع، لا توجد طريقة مباشرة للعودة إلى نظام الإنتاج، من خلال ما يسمى بتقنية الخداع، يمكن استخلاص استنتاجات حول الهدف من الهجوم وكيف انتهك المهاجمون النظام.
لا يوجد حل أمني يمكنه إيقاف جميع الهجمات من الحدوث على الشبكة، لكن تقنية الخداع تساعد في منح المهاجمين إحساسًا زائفًا بالأمان من خلال جعلهم يعتقدون أنهم اكتسبوا موطئ قدم على الشبكة، حيث يمكن مراقبة سلوكهم وتسجيله بأمان مع العلم أنهم لا يستطيعون التسبب في أي ضرر لأنظمة الشركة، يمكن استخدام المعلومات حول سلوك المهاجم وتقنياته لزيادة تأمين الشبكة من الهجوم.
