فناوری فریب (Deception Technology) چیست؟

فناوری فریب یا Deception Technology به دسته‌ای از راهکارهای امنیت سایبری گفته می‌شود که با نرخ پایین هشدارهای نادرست، تهدیدات را زودهنگام شناسایی می‌کند. این فناوری تله‌هایی (مانند دامنه‌ها، پایگاه‌های داده، فایل‌ها، سرورها، برنامه‌ها، پرونده‌ها، اعتبارنامه‌ها و ردپاهای مصنوعی) را در کنار دارایی‌های شبکه می‌گذارد. این فناوری به محض آنکه مهاجمی با تله‌ای روبه‌رو شود جمع‌آوری اطلاعات را آغاز کرده و از این اطلاعات در راستای هشدار‌دهی با دقت بالا استفاده می‌کند که زمان ماندگاری مهاجم در شبکه را کاهش داده و پاسخ به حوادث را تسریع می‌کند.

چرا فناوری فریب اهمیت دارد؟

صرف نظر از میزان قدرت دفاعی در سازمانتان همواره این احتمال وجود دارد که مجرمان سایبری به شبکه شما نفوذ کنند. فناوری فریب باعث می‌شود مجرمان سایبری زمان خود را صرف کاوش دارایی‌های جعلی بی‌ارزشی کنند که این دام را شما برایشان پهن کرده‌اید. این کار باعث اتلاف وقتشان می‌شود. به محض آنکه ورود غیرمجاز آنان به سیستم مشخص شود، شما یک‌سری مشخصه اولیه از رفتارشان به‌دست می‌آورید و می‌توانید از اطلاعات به‌دست‌آمده علیه‌شان استفاده کنید.

دفاع‌های فناوری فریب در عصر حاضر به شدت از اصول فریب نظامی که افرادی چون چاناکیا، سان تزو، ناپلئون و چنگیزخان برای فتح قاره‌ها از طریق فریب، استتار و نیرنگ به کار می‌بردند الهام گرفته است. مدافعان در زمینه امنیت سایبری از طعمه‌ها و تله‌ها در راستای گمراه‌کردن مهاجمان استفاده می‌کنند تا آنان خیال کنند امکان نفوذ به شبکه وجود دارد و در نتیجه خود را ناخواسته لو دهند.

فناوری فریب چه مزایایی دارد؟

بزرگترین مزیت فناوری فریب این است که زحمت کار را به جای مدافع بر دوش مهاجم می‌گذارد. اگر شبکه‌تان را پر از تله کرده باشید و مهاجمان بخواهند حمله‌ای موفقیت‌آمیز داشته باشند، باید حمله بی‌عیب‌ونقصی کنند بدون آنکه حتی با یک دارایی جعلی یا تله مواجه شوند. در صورت رخ‌دادن هرگونه اشتباه از سوی مهاجمان شما برنده خواهید بود.

پنج مزیت اصلی فناوری فریب:

۱. تشخیص تهدید بهبودیافته: اگر روش‌های تشخیص را بر اساس دقت در نظر بگیریم دو حالت وجود دارد:

• تشخیص مبتنی بر امضا: بسیار دقیق اما مختص تهدیدات مشخص
• تحلیل رفتاری و روش‌های اکتشافی: پوشش‌دهی گسترده تهدیدات اما مستعد هشداردهی نادرست

هشدارهای فناوری فریب ترکیبی از هر دو مورد را ارائه می‌دهند که هم دقت بسیار بالایی دارد و هم تهدیدات را به‌طور گسترده پوشش می‌دهد.

۲. آگاهی‌بخشی در زمینه ریسک کسب‌وکار: بیشتر کنترل‌های امنیتی ریسک‌های موجود در کسب‌وکار را در نظر نمی‌گیرند. برای مثال نرم‌افزار آنتی‌ویروس شما نمی‌داند که شرکتتان دارد با شرکتی دیگر ادغام می‌شود. با این حال فناوری فریب به‌گونه‌ای طراحی شده تا با این ریسک‌ها همسو شود. برای مثال اگر در مسیر رونمایی از محصولی جدید هستید، می‌توانید اقدامات فریب را حول همین محور تنظیم کرده و کنترل‌های امنیتی را مستقیم با حوزه‌های ریسک‌پذیر همسو کنید.

۳. پوشش‌دهی گسترده‌تر: فناوری فریب می‌تواند در سراسر سازمان شما از جمله در محیط‌هایی که اغلب نقاط ضعف دارند اعمال شود. این فناوری در محیط مرزی، نقاط پایانی، شبکه اکتیو دایرکتوری و در سراسر لایه‌های برنامه تهدیدات را تشخیص می‌دهد و همچنین محیط‌هایی نظیر  SCADA/ICS (کنترل نظارتی و اکتساب داده)، اینترنت اشیا و فضای ابر که اغلب نادیده گرفته می‌شوند را پوشش می‌دهد.

فناوری فریب برخلاف راه‌حل‌های نقطه‌ای تمامی مراحل زنجیره کشتار سایبری را از شناسایی پیش از حمله گرفته تا بهره‌برداری، افزایش امتیاز، حرکت‌های جانبی و نشت داده پوشش می‌دهد.

۴. هشدارهای نادرست بسیار کم: هشدارهای نادرست هر تیم امنیتی را خسته می‌کند. فناوری فریب به‌گونه‌ای طراحی شده که هشدار نادرست بسیار کمی می‌دهد زیرا تنها مهاجمان هستند که در تله‌های سیستم می‌افتند. علاوه بر این هشدارهای این فناوری، اطلاعاتی در مورد قصد مهاجم نیز آشکار می‌سازند.

بیشتر تحلیل‌های رفتاری از ماشین لرنینگ از الگوی مشخصی استفاده می‌کنند که معمولاً منجر به هشدارهای نادرست می‌شوند. فناوری فریب الگوی فعالیت صفر ایجاد می‌کند (بنابراین هر فعالیتی مستلزم بررسی است) و شاخص‌های دقیقی از نقض امنیت ارائه می‌دهد.

۵. پاسخ هماهنگ‌شده: پاسخ هماهنگ‌شده یا پاسخ خودکار زمانی بیشترین فایده را دارد که امکان حمله قطعی باشد. حتی در این صورت چنین هشدارهایی معمولاً نیازی به هماهنگی ندارند زیرا دستگاهی که وظیفه پاسخدهی را دارد به مدیریت بازسازی نیز می‌پردازند (مانند قرنطینه آنتی‌ویروس).

هشدارهای فناوری فریب کاملاً قطعی و زمینه‌محور هستند. بنابراین شما می‌توانید سناریوهای پیچیده‌تری را بچینید (مثلاً طراحی اعتبارنامه‌های ساختگی که به محیط تله هدایت و سپس در آنجا مسدود شوند) یا برنامه‌های خاصی را هدف قرار دهید (مثلاً حسابی که به تله سرور بانکی سوئیفت دسترسی پیدا می‌کند در سرور سوئیفت واقعی مسدود شود).

فناوری فریب چگونه کار می‌کند؟

فناوری فریب از تکنیک‌های دفاع فعال استفاده می‌کند تا شبکه‌تان را به محیطی ناسازگار برای مهاجمان تبدیل کند. فناوری فریب امروزی مشابه با هانی‌پات‌ها شبکه شما را با منابع جعلی پر می‌کند که شبیه دارایی‌های واقعی هستند با این تفاوت که کاربران قانونی هرگز دسترسی به آنها ندارند. سپس این فناوری با استفاده از هشدارهای مبتنی بر فریب فعالیت‌های مخرب را شناسایی می‌کند، هوش تهدید را شکل می‌دهد، حرکت‌های جانبی را متوقف می‌سازد و پاسخ تهدید را با مهار تهدید هماهنگ می‌کند. فناوری فریب تمامی این فعالیت‌ها را بدون هرگونه نظارت انسانی انجام می‌دهد.

هنگامی که مهاجمی را در شبکه خود شناسایی کردید می‌توانید در لحظه محیط فریب‌آمیز را بر اساس دانشی که از حمله به‌دست آوردید دستکاری کنید. برخی موقعیت‌های ممکن عبارتند از:

• گمراه‌سازی مهاجمان به‌کمک جعل دارایی‌ها یا حذف آنها
• تولید ترافیک شبکه، اعلان هشدارها یا پیام‌های خطا برای تشویق رفتاری خاص از جانب مهاجمان
• مخدوش‌کردن تصور مهاجمان از محیط سازمان
• ایجاد موقعیت‌هایی برای مجبور‌ساختن مهاجمان در راستای افشای اطلاعات درباره هویت و مبدأ خود

فناوری فریب کاری فراتر از ایجاد موانع اضافی در مسیر مهاجمان سایبری انجام می‌دهد. این فناوری برگرفته از این است که بیشتر مهاجمان از تمامی وجوه محیطی که سعی در نفوذ به آن دارند اطلاع ندارند؛ پس آنها نمی‌توانند تشخیص دهند چه جنبه‌هایی واقعی‌ست و چه جنبه‌هایی ساختگی. این امر قدرت عمل را از مهاجمان گرفته و آن را به مدافعان می‌دهد، خواسته‌های مهاجمان را آشکار می‌سازد و نشان می‌دهد چرا چنین قصدی دارند و چگونه هدف خود را دنبال می‌کنند.

مقایسه فناوری فریب امروزی با هانی‌پات‌ها

هانی‌پات اولین ابزار فریب در امنیت اطلاعات بود که در چند دهه پیشین ظهور کرد و هنوز هم مورد استفاده قرار می‌گیرد. هانی‌پات‌ها دارایی‌های بدون حفاظت اما تحت‌نظارت هستند که مختص جذب مهاجمانی که به شبکه نفوذ کرده‌اند طراحی شده‌اند. تیم‌های امنیتی عملیات پس از دسترسی به هانی‌پات می‌توانند درباره مهاجم اطلاعات کسب کنند یا حملات را متوقف سازند.

فناوری‌های فریب قدیمی مانند هانی‌پات‌ها و موارد مشابه اساساً تکنیک‌های واکنشی دارند. آنها سریع منسوخ شده و نمی‌توانند با تاکتیک‌های متغیر مهاجمان همگام شوند؛ امری که تشخیص و ماندگاری مهاجمان در شبکه را آسان‌تر می‌کند. هانی‌پات‌ها و هانی‌نت‌های موجود در اینترنت در صورت تشخیص‌ندادن فعالیت‌ها و عدم شناسایی هدفمند می‌توانند هشدارهای نادرست زیادی دهند.

مشکلات فناوری‌های تشخیص قدیمی

روش‌های فریب سایبری بر این فرض عمل می‌کنند که مهاجمان به امنیت شما حمله کرده‌اند و به شبکه، نقاط پایانی، سیستم‌‌عامل‌ها و برنامه‌های شما دسترسی دارند. سایر روش‌های تشخیص تهدید برای هشدار‌دهی به تیم‌های امنیتی در برابر حملات پیچیده امروزی کافی نیستند.

ابزارهای تشخیص قدیمی مانند فایروال‌ها و تشخیص نقاط پایانی که هر کدام متناسب با نوع خاصی از امنیت (شبکه، برنامه، نقطه پایانی، دستگاه‌های اینترنت اشیا و…) طراحی شده‌اند اغلب به صورت مجزا از یکدیگر کار می‌کنند. این امر مشکلاتی را ایجاد می‌کند نظیر:

• هشداردهی با دقت پایین: این ابزارها فقط فعالیت‌های بخش زیرساخت امنیتی خود را تشخیص می‌دهند.
• زمان بررسی طولانی‌تر: تحلیلگران امنیتی باید بین چندین ابزار در تکاپو باشند تا حمله و آسیب را کشف کنند.
• نرخ بالای هشدارهای نادرست: این نرخ بالا منجر به بی‌اهمیت‌شدن نسبت به هشدارها می‌شود. نظرسنجی در سال ۲۰۲۱ از شرکت ESG نشان داد که ۴۵٪ از هشدارهای ابزارهای امنیتی تحت‌وب و API پاسخ‌دهندگان نادرست بوده‌اند.

علاوه بر این بسیاری از فناوری‌های تشخیص بدافزار بسیار بهتر از حملات انسانی، خواه تهدیدات خارجی خواه تهدیدات داخلی، عمل می‌کنند. هکرهای پیشرفته برای جلوگیری از شناسایی‌شدن در تقلید از رفتارهای کاربران قانونی مهارت دارند. با این حال این هکرها در پلتفرم‌های فریب به محض مواجهه با اولین تله خود را لو می‌دهند.

فناوری فریب چه نوع تهدیداتی را تشخیص می‌دهد؟

شما می‌توانید از فناوری فریب در تشخیص تهدیدات حول محور زنجیره کشتار از مرحله شناسایی تا سرقت داده استفاده کنید. این کاربردها در سه دسته کلی قرار می‌گیرند:

• دفاع فریب در محیط مرزی: معمولاً امکان نظارت بر تمام ترافیک ورودی جهت تشخیض تهدیدات بالقوه وجود ندارد. ساخت دارایی‌های فریبنده عمومی این مشکل را ساده کرد.
• دفاع فریب در شبکه: با قرار‌دادن تله‌ها در مکان‌هایی که مهاجمان ممکن است کاوش کنند اما کاربران قانونی هرگز نیازی به دسترسی به آنها ندارند می‌توان حملات در حال پیشروی را شناسایی کرد.
• دفاع فریب در نقاط پایانی: تله‌های نقطه پایانی در دید مهاجمان شبیه دارایی‌های ارزشمندی هستند که جهت استخراج آسان داده آماده شده‌اند. نظارت بر این دارایی‌ها می‌تواند رفتارهای مشکوک را تشخیص دهد.

آیا سازمانتان به استفاده از فناوری فریب نیاز دارد؟

مدیران سازمان‌‌ها تا سال‌های اخیر فکر می‌کردند که فریب سایبری عمدتاً در سازمان‌های بسیار بزرگ موردنیاز است. اما امروزه سازمان‌های متوسط و کوچک نیز می‌توانند از مزایای این فناوری استفاده کنند. این روزها فناوری فریب به مزیتی اصلی بین تمام سازمان‌ها تبدیل شده است.

سازمان‌های بزرگ

سازمان‌های پیشگام با بودجه‌های کلان و عملکردهای امنیتی توسعه‌یافته از فناوری فریب در راستای بهینه‌سازی تشخیص تهدید، شکل‌دهی هوش تهدیدات داخلی و قابلیت‌های پاسخ‌دهی استفاده می‌کنند.

این سازمان‌ها با کمک فناوری فریب به‌دنبال تشخیص تهدیدات پیشرفته‌تر و مواجهه کمتر با هشدارهای نادرست در فرآیند تهدیدات پیشگیرانه یا پاسخ یکپارچه هستند. این موضوع بازار را به سمت پذیرش آسان‌تر فناوری فریب سوق داده است.

سازمان‌های متوسط و سازمان‌های کوچک

مدیران ارشد امنیت اطلاعات در سازمان‌های متوسط و حتی تیم‌های امنیتی در سازمان‌های کوچک اغلب با تهدیدات و ریسک‌های بزرگی مواجه هستند.

درباره ریسک‌ها و نگرانی‌های این مدیران بیشتر بخوانید: ۱۰ دلیل مهم برای پذیرش ابر توسط مدیران ارشد فناوری اطلاعات

این سازمان‌ها ممکن است حداقل نیازهای امنیتی اولیه را رعایت کرده باشند اما نیاز است بتوانند تهدیدات جدی‌تر را نیز تشخیص دهند. آنها به راه‌حلی نیاز دارند که:

• راه‌اندازی و نتیجه سریع داشته باشد
• طریقه استفاده آسان و کم‌هزینه داشته و مناسب تیم‌های امنیتی کوچک باشد
• مختص بخش خاصی نباشد زیرا این دست از سازمان‌ها بودجه کافی برای راه‌اندازی چندین فناوری را ندارند
• تمامی نقاط از جمله محیط‌هایی مانند فضای ابری و اینترنت اشیا را پوشش دهد

فناوری فریب تمامی این موارد را تأمین می‌کند و باعث می‌شود سازمان‌ها در برابر تهدیدات هدفمند و پیشرفته‌ عمل کنند. منبع

برای اطلاعات بیشتر و مشاوره با کارشناسان ابرآمد، با ما در تماس باشید:

• فناوری فریب چیست و چه تفاوتی با هانی‌پات دارد؟

  فناوری فریب مجموعه‌ای از تله‌ها و دارایی‌های جعلی است که در شبکه قرار داده می‌شوند تا رفتار مهاجمان شناسایی و تحلیل شود. در حالی که هانی‌پات‌ها معمولاً واکنشی و محدود هستند، فناوری فریب امروزی پویا، خودکار و هماهنگ با دفاع فعال است و می‌تواند در کل شبکه (از نقاط پایانی تا فضای ابری) تهدیدات را تشخیص دهد.

• مهم‌ترین مزیت فناوری فریب برای سازمان‌ها چیست؟

  بزرگ‌ترین مزیت آن دقت بالا در تشخیص تهدید با حداقل هشدار نادرست است. زیرا فقط مهاجمان واقعی ممکن است وارد دارایی‌های جعلی شوند، در حالی که کاربران قانونی هرگز به آنها دسترسی ندارند. این فناوری همچنین باعث می‌شود مهاجمان زمان خود را روی اهداف بی‌ارزش هدر دهند.

• آیا سازمان‌های کوچک هم به فناوری فریب نیاز دارند؟

  بله. برخلاف تصور گذشته، فناوری فریب فقط مخصوص سازمان‌های بزرگ نیست. امروزه نسخه‌های سبک‌تر و خودکار آن وجود دارند که برای شرکت‌های کوچک و متوسط هم مناسب‌اند، چون راه‌اندازی ساده، هزینه‌ی پایین و پوشش جامع (از جمله فضای ابری و IoT) دارند.