فریب برای فعالیت بدخواهانه هکرهای کلاه سیاه بسیار مهم است، اما همانطور که مایکروسافت اخیرا نشان داد، می تواند سلاحی قدرتمند در برابر آن هکرها نیز باشد.
در یک رویداد BSides در اوایل سال جاری در اکستر، انگلستان، “سر فریب” سازنده نرم افزار، راس بیوینگتون، پروژه بلندپروازانه ای را تشریح کرد که مجرمان سایبری را به سمت مستاجران هانی پات با ظاهری واقع گرایانه با دسترسی به ابر Azure مایکروسافت برای جمع آوری اطلاعات در مورد آنها و ایجاد اختلال در آنها تشریح کرد. عملیات آنها
به گفته مایکروسافت، روزانه 25000 سایت فیشینگ را رصد می کند و حدود 20 درصد از آنها را با اعتبار هانی پات تغذیه می کند. هنگامی که یک مهاجم به مستاجر جعلی وارد می شود، تمام اقدامات آنها ثبت می شود و به مایکروسافت اجازه می دهد تاکتیک ها، تکنیک ها و رویه های عامل تهدید (TTP) را یاد بگیرد.
من 11 سال برای مایکروسافت کار کردم و فناوری فریب را برای برخی از مشتریانش به کار بردم و در پروژه های داخلی که از فناوری های فریب استفاده می کردند شرکت داشتم. تا آنجا که من می توانم از جزئیات بسیار محدود بگویم، به نظر می رسد که این یک پروژه فریب در مقیاس بزرگ است.
او به TechNewsWorld گفت: “بیشتر پروژه های فریب شامل یک یا چند نقطه پایانی فریب است.” “به نظر می رسد این یکی شامل یک دسته مستاجران جعلی با صدها کاربر جعلی و محتوای شبیه سازی شده است. این تا آنجا که پروژه های فریبکاری می توانند بسیار بزرگ است.
بازی ذهن با بدی ها
کریس دوکیچ، بنیانگذار Display Now، یک شرکت ساینیج دیجیتال در بوستون، افزود: «در طول ارائه مایکروسافت در BSides، یک چیز توجه من را جلب کرد: مستاجران جعلی Azure برای نقشهبرداری از زیرساختهای طرحهای فیشینگ استفاده میشوند.
او به TechNewsWorld گفت: “این سطح جدیدی از فریب است که به مایکروسافت این مزیت را می دهد که بتواند اطلاعاتی را در مورد فیشرها در سراسر جهان جمع آوری کند و آنها را قبل از اینکه حملات خود را به طور انبوه اجرا کنند خنثی کند.”
Stephen Kowski، مدیر ارشد فناوری در SlashNext، یک شرکت امنیت رایانه و شبکه در Pleasanton، کالیفرنیا، خاطرنشان کرد که رویکرد مایکروسافت در استفاده از مستاجران جعلی Azure نشاندهنده تغییری نوآورانه در تاکتیکهای فریب است.
او به TechNewsWorld گفت: «آنها با استفاده از زیرساخت ابری خود، یک محیط Honeypot مقیاس پذیرتر و پویاتر ایجاد کرده اند. این روش امکان نظارت و تجزیه و تحلیل بیدرنگ رفتار مهاجم را در یک اکوسیستم ابری کنترلشده و در عین حال واقعبینانه فراهم میکند و بینش عمیقتری در مورد عملیات فیشینگ پیچیدهتر ارائه میدهد.
علاوه بر توضیح طرح هانی پات، جلسه BSides ممکن است هدف دیگری برای مایکروسافت داشته باشد. کیسی الیس، بنیانگذار و مشاور Bugcrowd مستقر در سانفرانسیسکو، که یک پلتفرم جایزه باگ جمعسپاری شده را اداره میکند، گفت: «فناوری فریب چیزی نیست که مدافعان اغلب درباره آن صحبت کنند. بخشی از کاربرد آن از این واقعیت ناشی می شود که دقیقاً شبیه یک سیستم زنده به نظر می رسد، بنابراین روش استقرار معمولی یک رویکرد بی صدا است.
او به TechNewsWorld گفت: «مایکروسافت با اعلام این که آنها این کار را انجام می دهند، کمی بازی فکری با آدم های بد انجام می دهد.
تاکتیک فریب برای همه نیست
همانطور که مایکروسافت نشان داده است، فریب می تواند ابزار موثری برای خنثی کردن مستأصلان دیجیتال باشد، اما برای همه نیست. Vaclav Vincalek، مدیر ارشد فناوری مجازی و بنیانگذار 555vCTO، در ونکوور، بریتیش کلمبیا، کانادا، اذعان کرد: «تاکتیکهای فریب به منابع بسیار کمی نیاز دارند.
او به TechNewsWorld گفت: «این باید به درستی راهاندازی شود و سپس به نیروی انسانی برای نظارت بر آن نیاز دارید. “و البته، سوال این است که با اطلاعات چه می کنید؟”
گریمز موافقت کرد. سازمانهای معمولی زمان لازم برای انجام این نوع فعالیتهای تحقیقاتی را ندارند و به طور کلی، زمانی که از فناوریهای فریب استفاده میشود، از آنها برای هشدار اولیه برای تسریع واکنش به حادثه و کاهش هزینهها و زمان توقف استفاده میشود.»
برخی از این نگرانیهای نیروی انسانی را میتوان با استفاده از هوش مصنوعی برطرف کرد.
ایجاد محیط های فریبنده واقع گرایانه یا متقاعد کننده به یک کار ایده آل برای به کارگیری هوش مصنوعی مدل زبانی بزرگ تبدیل می شود، زیرا فرد باید بتواند تعدادی حساب های فردی را پر کند که همگی با یکدیگر تعامل دارند، همراه با انباشته ای از ارتباطات تاریخی بین آنها برای عوامل تهدید برای جستجو. دانیل بلکفورد، مدیر تحقیقات تهدید در Proofpoint، یک شرکت امنیتی سازمانی، در Sunnyvale، کالیفرنیا، به TechNewsWorld گفت.
گرایمز مایکروسافت و سایر سازمانهای بزرگ را به خاطر انجام کار سخت استفاده از فریب برای تحقیق و یادگیری و سپس استفاده از درسهای آموخته شده برای بهبود دفاعی که به نفع همه است، تحسین کرد.
او افزود: «به همان اندازه که من به طور کلی عاشق فناوری های فریب هستم، کاهش فیشینگ بهترین مورد استفاده برای یک سازمان معمولی نیست، اما همانطور که مایکروسافت از آن استفاده می کند – جایی که آنها در حال یادگیری ابزارها و تکنیک های فعلی و جدید هستند. و ترفندها – این یک ابزار عالی است.
مبارزه با فیشینگ
در حالی که استفاده از فریب برای مبارزه با فیشینگ ممکن است در کارت هر سازمانی نباشد، می تواند یک سلاح قوی برای کسانی باشد که آن را برای این منظور به کار می گیرند.
شاون لاولند، کارشناس امنیت سایبری در Resecurity، یک شرکت جهانی و دولت، میگوید: «فریب میتواند ابزاری قدرتمند در برابر فیشینگ، استفاده از داراییهای جعلی – مانند ایمیلهای فریبنده، وبسایتها یا اعتبارنامهها – برای گمراه کردن مهاجمان به افشای تاکتیکهای خود بدون به خطر انداختن دادههای واقعی باشد. شرکت امنیت سایبری
او به TechNewsWorld گفت: «با استفاده از این روشها، سازمانها فیشرها را در تنظیمات کنترلشده درگیر میکنند و تیمهای امنیتی را قادر میسازند تا تلاشهای فیشینگ را در زمان واقعی شناسایی و تجزیه و تحلیل کنند. این امر ضمن جمعآوری اطلاعات در مورد تاکتیکهای فیشینگ، تهدیدها را از اهداف واقعی منحرف میکند.»
لاولند ادامه داد: «علاوه بر این، کمپینهای فیشینگ شبیهسازیشده، کاربران و سیستمهای نظارت داخلی را برای شناسایی و مقاومت در برابر حملات واقعی آموزش میدهند و امنیت کلی را افزایش میدهند.»
کووسکی اضافه کرد که فیشینگ با تکامل و تطبیق با اقدامات امنیتی جدید، تهدیدی مهم برای سازمان ها باقی می ماند. نوآوری BEC (Business Email Compromise) کاهش یافته است و در عوض، شاهد افزایش حملات فیشینگ سه بعدی چند کانالی بوده ایم. بازیگران تهدید در حال نوآوری و سوء استفاده از سرویسهای قابل اعتماد مانند OneDrive، Dropbox و GitHub برای ارسال ایمیلهای مخرب هستند. این تغییر در تاکتیکها، فیشینگ را به یک نگرانی دائمی و فزاینده برای سازمانها تبدیل میکند.
لاولند افزود: «فیشینگ یکی از مهمترین تهدیدهایی است که افراد و سازمانها با آن مواجه هستند و همچنان خواهد بود. “ابزارهای فیشینگ جدید مبتنی بر هوش مصنوعی، همراه با داده های شخصی موجود در اختیار فیشرها، اساساً همه چیز را به نفع فیشرها تغییر خواهد داد.”
برای سازمانهایی که از فریب برای مبارزه با حملات فیشینگ استفاده میکنند، Vincalek این توصیه را ارائه کرد: «فریب کاری واقعاً زمانی بهترین کار را انجام میدهد که سازمانها استراتژی را با سایر اقدامات امنیتی ترکیب کنند. کسب و کارها نباید تنها به فریب برای مبارزه با حملات فیشینگ تکیه کنند.
گریمز افزود: “اگر از فناوری های فریب استفاده می کنید، مطمئن شوید که آنها را به گونه ای سفارشی کنید که محیط واقعی شما را تقلید کنند. برای مثال، اگر از ویندوز مایکروسافت عمدتاً در محیط خود استفاده میکنید، میخواهید که فناوریهای فریبکاری شما با استفاده از همان سرویسهای پیشفرض و پورتهای شبکه مانند ویندوز به نظر برسد.
او توضیح داد: «یک اشتباه رایج که کاربران فناوری فریب جدید مرتکب میشوند، این است که فناوریهای فریبکاری را که در محیطشان طبیعی به نظر نمیرسند، به کار میبرند و خدمات و پورتهای اشتباه را برای آنچه شرکت واقعاً استفاده میکند تبلیغ میکنند.»