استفاده Attivo Network از فریب فعال برای به دام انداختن مهاجمان داخل شبکه
attivo networks چیست
حتما در مورد استفاده از هانی پات ها برای جذب مهاجمان شنیده اید. Attivo Network ها این مفهوم را بسط داده اند و آن را برای همه مهاجمانی (انسان یا غیر انسان) که به شبکه شما راه پیدا کرده اند، به کار گرفته اند.
تعداد نشرهای داده در ایالات متحده که در سال ۲۰۱۴ ردیابی شده رکوردی معادل ۷۸۳ دارد که طبق گفته مرکز منابع سرقت هویت (ITRC) نسبت به تعدادی که در سال ۲۰۱۳ گزارش شده ۲۸% افزایش و نسبت به تعداد گزارش شده در سال ۲۰۱۰، یعنی ۶۶۲، ۱۸% افزایش داشته است و این اخبار بدتر هم می شود.
گزارشات ITRC نشان می دهد که نشر داده در سال ۲۰۱۵ رکوردهای قبلی را نیز پشت سر گذاشته است.
مروری بر لیست ITRC در مورد نشر داده در سال ۲۰۱۵ نشان می دهد که بسیاری از انواع این نشرها از نوع “الکترونیکی” بوده اند. به عبارت دیگر، تنها گم کردن لپ تاپ توسط یک کاربر نبوده اند بلکه یک نفوذ عمدی به شبکه یا سیستم بوده اند.
گفتن این نکته خالی از لطف نیست که بسیاری از سازمان هایی که از نشر داده رنج برده اند نوعی امنیت شبکه به منظور جلوگیری یا کشف این نشرها طراحی کرده بوده اند. احتمالا از یک IDS یا IPS یا یک SIEM یا ترکیبی لایه ای از حفاظ های فنی.
هر تکنولوژی که در این سازمان ها استفاده شده بوده برای جلوگیری از نشر، به قدر کافی موثر نبوده است.
با تغییرات گسترده در زیرساخت IT، ناپدید شدن فضای شبکه و شکست تکنولوژی های موجود در جلوگیری از بدافزارها، نیاز شدید به راهکارهایی وجود دارد که بتوانند به سرعت و قبل از اینکه خسارت واقعی ایجاد شود، حملات را شناسایی کنند. موسسان و مهندسان Attivo Networks این مشکل را بررسی کردند و آخرین خط دفاعی را ایجاد نمودند که آن را فریب پویا نامیدند. این خط دفاعی برای جذب و به دام انداختن هر مهاجمی – انسان، ربات یا APT – طراحی شده است که با قصد ایجاد آسیب وارد شبکه شما بشود.

Attivo به محض نصب روی شبکه و دستگاه های endpoint، فریبی ایجاد می کند که باعث می شود مهاجم فکر کند که محیط Attivo هدف واقعی است. داخل محصول Attivo چند سیستم عامل، سرور و سرویس واقعی وجود دارد – یعنی آنچه که هکرها، ربات ها و APTها در جست و جوی آن هستند. راهکار Attivo خود را وارد مکان هایی در سراسر شبکه کرده و از فریب پویای پیشرفته ای برای حمله عمدی به مهاجمین استفاده می کند. به محض اینکه مورد حمله قرار گیرد Attivo متوجه می شود که کدام دستگاه تحت تاثیر قرار گرفته و حمله از کجا آمده است. Attivo اجازه می دهد حمله درون سیستمش بازی کند – سیستمی که کاملا از شبکه واقعی مجزا شده است – تا هوش تهدید مورد نیاز شما برای خنثی سازی حمله و بازرسی کامل برای به دست آوردن روش و نیت آن را تامین کند.
طبق اعلام Attivo، تنظیم و راه اندازی این راهکار ساده است. این سازمان نوعا از یک پورت vLAN استفاده کرده و آی پی آدرس های استفاده نشده را در هر زیر شبکه ای که سعی در مانیتور آن را دارد، به کار می برد. این آی پی آدرس ها به سرورهای Attivo فرستاده می شوند و به سرورها و سیستم عامل های فروشنده ها اختصاص می یابند. در صورتی که کسی سعی در سرقت هویت از دستگاه های کاربر نهایی داشته باشد، Attivo اطلاعات اشتباه برای وی فراهم می کند که مهاجم را مستقیم به دام می اندازد.

فریب برای تقلید از محیط واقعی شبکه شما طراحی شده است.
سیستم های Attivo سه ورژن سیستم عامل لینوکس، سه ورژن سیستم عامل ویندوز و چندین سرویس متداول دارند. اینها سرویس ها و سیستم عامل های واقعی هستند تا مهاجم متوجه جعلی بودن آنها نشود. سرورهای Attivo از قواعد نام گذاری سرورهای واقعی شما استفاده می کنند تا فریب را بهبود دهند. اگر مایل باشید می توانید تصویر طلایی خود را روی سیستم های Attivo اضافه کنید تا آنها را از سیستم های خود غیر قابل تشخیص کنید.
این راهکار برای سطح مشخصی از فریب پیش پیکر بندی شده است ولی می توانید آنچه سیستم انجام می دهد را با انتخاب مشخصه های اضافی از طریق کنسول افزایش دهید.
برای مثال، تکنیک های پیشرفته تری وجود دارد که به هدف به دام انداختن مهاجمین انسانی طراحی شده اند که معمولا توسط سازمان هایی مانند بانک ها و سازمان های دولتی با هدف های با ارزش مورد استفاده قرار می گیرند.
Attivo سیستم ها را مورد نظارت قرار می دهد و لحظه ای که شخصی با محیط فریب، تماسی برقرار کند، Attivo خواهد دانست که این فرد یا شیء نیت بدی دارد.
هشدار به SIEM یا SOC محلی شما فرستاده خواهد شد تا به شما اطلاع دهد که حمله ای در راه است. Attivo حمله را متوقف نمی کند این کار به خواست شما بستگی دارد. با این وجود Attivo همه فعالیت ها و جزئیات را برای تجزیه و تحلیل های بعدی و به عنوان مدرک در جهت تعقیب قانونی متخلفین ضبط می کند. برخی سازمان ها تمایل دارند به طور فعال مهاجم را درگیر کنند – تا اجازه دهند که وی داده ها یا اطلاعات جعلی را سرقت کند تا مدارک محکم تری برای پرونده سازی و احتمالا پیگرد قانونی به دست آورند.
Attivo اخیرا دو پیشرفت چشم گیر را اعلام کرده است. اول اینکه Attivo اکنون از محیط کلاد AWS پشتیبانی می کند به طوری که فریب داینامیک بتواند در کلاد و در مرکز داده شما رخ دهد. دوم اینکه اکنون یک سیستم مدیریت مرکزی برای شرکت هایی که راهکار Attivo را در چند موقعیت جغرافیایی به کار می برند، ایجاد کرده است. همه تهدیدها را می توان از طریف یک شیشه کوچک تجمیع و بر آنها نظارت کرد.
به نقل از مجریان Attivo تاکنون موردی وجود نداشته است که مشتری مورد حمله قرار گیرد و سیستم Attivo آن را کشف نکند. شرکت این را آخرین خط دفاع می نامد.

موقعیت هایی وجود داشته که این راهکار نصب شده و هیچ گاه هیچ تهدیدی شناسایی نشده ولی دانستن اینکه شبکه شما عاری از بدافزار است شاید به همان اهمیت دانستن این باشد که شبکه شما آلوده شده است. تصور کنید می توانید به مدیر خود با اطمینان کامل بگویید که شبکه شما کاملا امن است و به خوبی کار می کند.