مایکروسافت از تاکتیک های Honeypot برای غلبه بر مجرمان سایبری استفاده می کند

فریب برای فعالیت بدخواهانه هکرهای کلاه سیاه بسیار مهم است، اما همانطور که مایکروسافت اخیرا نشان داد، می تواند سلاحی قدرتمند در برابر آن هکرها نیز باشد.

در یک رویداد BSides در اوایل سال جاری در اکستر، انگلستان، “سر فریب” سازنده نرم افزار، راس بیوینگتون، پروژه بلندپروازانه ای را تشریح کرد که مجرمان سایبری را به سمت مستاجران هانی پات با ظاهری واقع گرایانه با دسترسی به ابر Azure مایکروسافت برای جمع آوری اطلاعات در مورد آنها و ایجاد اختلال در آنها تشریح کرد. عملیات آنها

به گفته مایکروسافت، روزانه 25000 سایت فیشینگ را رصد می کند و حدود 20 درصد از آنها را با اعتبار هانی پات تغذیه می کند. هنگامی که یک مهاجم به مستاجر جعلی وارد می شود، تمام اقدامات آنها ثبت می شود و به مایکروسافت اجازه می دهد تاکتیک ها، تکنیک ها و رویه های عامل تهدید (TTP) را یاد بگیرد.

من 11 سال برای مایکروسافت کار کردم و فناوری فریب را برای برخی از مشتریانش به کار بردم و در پروژه های داخلی که از فناوری های فریب استفاده می کردند شرکت داشتم. تا آنجا که من می توانم از جزئیات بسیار محدود بگویم، به نظر می رسد که این یک پروژه فریب در مقیاس بزرگ است.

او به TechNewsWorld گفت: “بیشتر پروژه های فریب شامل یک یا چند نقطه پایانی فریب است.” “به نظر می رسد این یکی شامل یک دسته مستاجران جعلی با صدها کاربر جعلی و محتوای شبیه سازی شده است. این تا آنجا که پروژه های فریبکاری می توانند بسیار بزرگ است.

بازی ذهن با بدی ها

کریس دوکیچ، بنیانگذار Display Now، یک شرکت ساینیج دیجیتال در بوستون، افزود: «در طول ارائه مایکروسافت در BSides، یک چیز توجه من را جلب کرد: مستاجران جعلی Azure برای نقشه‌برداری از زیرساخت‌های طرح‌های فیشینگ استفاده می‌شوند.

او به TechNewsWorld گفت: “این سطح جدیدی از فریب است که به مایکروسافت این مزیت را می دهد که بتواند اطلاعاتی را در مورد فیشرها در سراسر جهان جمع آوری کند و آنها را قبل از اینکه حملات خود را به طور انبوه اجرا کنند خنثی کند.”

Stephen Kowski، مدیر ارشد فناوری در SlashNext، یک شرکت امنیت رایانه و شبکه در Pleasanton، کالیفرنیا، خاطرنشان کرد که رویکرد مایکروسافت در استفاده از مستاجران جعلی Azure نشان‌دهنده تغییری نوآورانه در تاکتیک‌های فریب است.

او به TechNewsWorld گفت: «آنها با استفاده از زیرساخت ابری خود، یک محیط Honeypot مقیاس پذیرتر و پویاتر ایجاد کرده اند. این روش امکان نظارت و تجزیه و تحلیل بی‌درنگ رفتار مهاجم را در یک اکوسیستم ابری کنترل‌شده و در عین حال واقع‌بینانه فراهم می‌کند و بینش عمیق‌تری در مورد عملیات فیشینگ پیچیده‌تر ارائه می‌دهد.

علاوه بر توضیح طرح هانی پات، جلسه BSides ممکن است هدف دیگری برای مایکروسافت داشته باشد. کیسی الیس، بنیانگذار و مشاور Bugcrowd مستقر در سانفرانسیسکو، که یک پلتفرم جایزه باگ جمع‌سپاری شده را اداره می‌کند، گفت: «فناوری فریب چیزی نیست که مدافعان اغلب درباره آن صحبت کنند. بخشی از کاربرد آن از این واقعیت ناشی می شود که دقیقاً شبیه یک سیستم زنده به نظر می رسد، بنابراین روش استقرار معمولی یک رویکرد بی صدا است.

او به TechNewsWorld گفت: «مایکروسافت با اعلام این که آنها این کار را انجام می دهند، کمی بازی فکری با آدم های بد انجام می دهد.

تاکتیک فریب برای همه نیست

همانطور که مایکروسافت نشان داده است، فریب می تواند ابزار موثری برای خنثی کردن مستأصلان دیجیتال باشد، اما برای همه نیست. Vaclav Vincalek، مدیر ارشد فناوری مجازی و بنیانگذار 555vCTO، در ونکوور، بریتیش کلمبیا، کانادا، اذعان کرد: «تاکتیک‌های فریب به منابع بسیار کمی نیاز دارند.

او به TechNewsWorld گفت: «این باید به درستی راه‌اندازی شود و سپس به نیروی انسانی برای نظارت بر آن نیاز دارید. “و البته، سوال این است که با اطلاعات چه می کنید؟”

گریمز موافقت کرد. سازمان‌های معمولی زمان لازم برای انجام این نوع فعالیت‌های تحقیقاتی را ندارند و به طور کلی، زمانی که از فناوری‌های فریب استفاده می‌شود، از آنها برای هشدار اولیه برای تسریع واکنش به حادثه و کاهش هزینه‌ها و زمان توقف استفاده می‌شود.»

برخی از این نگرانی‌های نیروی انسانی را می‌توان با استفاده از هوش مصنوعی برطرف کرد.

ایجاد محیط های فریبنده واقع گرایانه یا متقاعد کننده به یک کار ایده آل برای به کارگیری هوش مصنوعی مدل زبانی بزرگ تبدیل می شود، زیرا فرد باید بتواند تعدادی حساب های فردی را پر کند که همگی با یکدیگر تعامل دارند، همراه با انباشته ای از ارتباطات تاریخی بین آنها برای عوامل تهدید برای جستجو. دانیل بلکفورد، مدیر تحقیقات تهدید در Proofpoint، یک شرکت امنیتی سازمانی، در Sunnyvale، کالیفرنیا، به TechNewsWorld گفت.

گرایمز مایکروسافت و سایر سازمان‌های بزرگ را به خاطر انجام کار سخت استفاده از فریب برای تحقیق و یادگیری و سپس استفاده از درس‌های آموخته شده برای بهبود دفاعی که به نفع همه است، تحسین کرد.

او افزود: «به همان اندازه که من به طور کلی عاشق فناوری های فریب هستم، کاهش فیشینگ بهترین مورد استفاده برای یک سازمان معمولی نیست، اما همانطور که مایکروسافت از آن استفاده می کند – جایی که آنها در حال یادگیری ابزارها و تکنیک های فعلی و جدید هستند. و ترفندها – این یک ابزار عالی است.

مبارزه با فیشینگ

در حالی که استفاده از فریب برای مبارزه با فیشینگ ممکن است در کارت هر سازمانی نباشد، می تواند یک سلاح قوی برای کسانی باشد که آن را برای این منظور به کار می گیرند.

شاون لاولند، کارشناس امنیت سایبری در Resecurity، یک شرکت جهانی و دولت، می‌گوید: «فریب می‌تواند ابزاری قدرتمند در برابر فیشینگ، استفاده از دارایی‌های جعلی – مانند ایمیل‌های فریبنده، وب‌سایت‌ها یا اعتبارنامه‌ها – برای گمراه کردن مهاجمان به افشای تاکتیک‌های خود بدون به خطر انداختن داده‌های واقعی باشد. شرکت امنیت سایبری

او به TechNewsWorld گفت: «با استفاده از این روش‌ها، سازمان‌ها فیشرها را در تنظیمات کنترل‌شده درگیر می‌کنند و تیم‌های امنیتی را قادر می‌سازند تا تلاش‌های فیشینگ را در زمان واقعی شناسایی و تجزیه و تحلیل کنند. این امر ضمن جمع‌آوری اطلاعات در مورد تاکتیک‌های فیشینگ، تهدیدها را از اهداف واقعی منحرف می‌کند.»

لاولند ادامه داد: «علاوه بر این، کمپین‌های فیشینگ شبیه‌سازی‌شده، کاربران و سیستم‌های نظارت داخلی را برای شناسایی و مقاومت در برابر حملات واقعی آموزش می‌دهند و امنیت کلی را افزایش می‌دهند.»

کووسکی اضافه کرد که فیشینگ با تکامل و تطبیق با اقدامات امنیتی جدید، تهدیدی مهم برای سازمان ها باقی می ماند. نوآوری BEC (Business Email Compromise) کاهش یافته است و در عوض، شاهد افزایش حملات فیشینگ سه بعدی چند کانالی بوده ایم. بازیگران تهدید در حال نوآوری و سوء استفاده از سرویس‌های قابل اعتماد مانند OneDrive، Dropbox و GitHub برای ارسال ایمیل‌های مخرب هستند. این تغییر در تاکتیک‌ها، فیشینگ را به یک نگرانی دائمی و فزاینده برای سازمان‌ها تبدیل می‌کند.

لاولند افزود: «فیشینگ یکی از مهم‌ترین تهدیدهایی است که افراد و سازمان‌ها با آن مواجه هستند و همچنان خواهد بود. “ابزارهای فیشینگ جدید مبتنی بر هوش مصنوعی، همراه با داده های شخصی موجود در اختیار فیشرها، اساساً همه چیز را به نفع فیشرها تغییر خواهد داد.”

برای سازمان‌هایی که از فریب برای مبارزه با حملات فیشینگ استفاده می‌کنند، Vincalek این توصیه را ارائه کرد: «فریب کاری واقعاً زمانی بهترین کار را انجام می‌دهد که سازمان‌ها استراتژی را با سایر اقدامات امنیتی ترکیب کنند. کسب و کارها نباید تنها به فریب برای مبارزه با حملات فیشینگ تکیه کنند.

گریمز افزود: “اگر از فناوری های فریب استفاده می کنید، مطمئن شوید که آنها را به گونه ای سفارشی کنید که محیط واقعی شما را تقلید کنند. برای مثال، اگر از ویندوز مایکروسافت عمدتاً در محیط خود استفاده می‌کنید، می‌خواهید که فناوری‌های فریبکاری شما با استفاده از همان سرویس‌های پیش‌فرض و پورت‌های شبکه مانند ویندوز به نظر برسد.

او توضیح داد: «یک اشتباه رایج که کاربران فناوری فریب جدید مرتکب می‌شوند، این است که فناوری‌های فریبکاری را که در محیطشان طبیعی به نظر نمی‌رسند، به کار می‌برند و خدمات و پورت‌های اشتباه را برای آنچه شرکت واقعاً استفاده می‌کند تبلیغ می‌کنند.»

منبع