استراتيجية أمنية دفاعية مجربة ومختبرة، يقوم الخداع السيبراني بزراعة الأفخاخ الخداعية عمدًا داخل بيئة تكنولوجيا المعلومات لاكتشاف الأنشطة الضارة وتحليلها. وقد تشمل هذه الخوادم الزائفة أو وحدات تحكم المجال، أو قواعد البيانات الخادعة ذات السجلات الملفقة، أو بيانات الاعتماد المزروعة، أو حتى مشاركات الملفات الزائفة التي تحتوي على بيانات وهمية.
لقد تم تصميمها لتبدو وكأنها مشروعة تمامًا، ولكن نظرًا لأنها لا تخدم أي وظيفة تجارية، فإن أي تفاعل معها يعد، بحكم التعريف، أمرًا مشبوهًا.
المدير الفني لضمان الأمن السيبراني في Six Degrees.
تاريخيًا، كانت تكتيكات الخداع السيبراني في كثير من الأحيان ثابتة ومعزولة، وتعتمد على مصائد مخترقي الشبكات والمضيفين الخادعين الموضوعين على الشبكات لجذب المهاجمين.
يستمر المقال أدناه
ولكن في الآونة الأخيرة، تحول التركيز والتطور بشكل كبير، حيث انتقل من وضع الفخ التجريبي إلى القدرات المنظمة والآلية والمتكاملة على مستوى المؤسسة.
على هذا النحو، تغيرت الأهداف العامة، مع تركيز أقل على اصطياد المهاجمين والمزيد على توليد رؤية مبكرة وعالية الثقة لسلوك الخصم.
كيف يبدو الخداع السيبراني الحديث؟
إذًا، كيف يتناسب هذا مع الإستراتيجية الأمنية المعاصرة؟ بشكل عام، تعمل منصات الخداع الحالية، المتاحة من مختلف البائعين التجاريين، على أتمتة نشر وإدارة الأفخاخ الخداعية القابلة للتصديق والتكامل مع الأدوات الأمنية الحالية.
هذه الأنظمة لا تحاكي المظهر فحسب؛ إنهم يقلدون السلوك بشكل مقنع من خلال محاكاة الخدمات النشطة مثل RDP أو SSH أو تطبيقات الويب.
تذهب الأنظمة الأكثر تقدمًا إلى أبعد من ذلك من خلال إنشاء أنماط نشاط مستخدم زائفة، وحركة مرور الشبكة، واستجابات الخدمة لزيادة المصداقية. بالإضافة إلى ذلك، تم دمج عمليات المراقبة والتحليل المرتبطة بها، مع تغذية النشاط مباشرة في سير عمل SIEM أو EDR أو MDR للارتباط مع القياسات الأمنية الأخرى عن بعد.
تم تصميم أي تنبيهات يتم إنشاؤها لتكون عالية الثقة بشكل افتراضي، لأنه يجب ألا يكون لدى المستخدمين الشرعيين أي سبب للتفاعل مع الأصول الخادعة. بالنسبة للمؤسسات التي تسير في هذا الطريق، فإنها لا تكتسب بيئة بحثية أمنية موازية فحسب، بل تكتسب أيضًا طبقة لتوليد المعلومات الاستخبارية مدمجة في بنيتها التحتية الحقيقية.
فهم قيمتها الحقيقية
يعد السؤال حول ما إذا كان يجب اعتماد الخداع السيبراني أمرًا مهمًا، والإجابة عليه تتطلب فهم مكانه ضمن حزمة الأمان.
تقوم العديد من عناصر التحكم الأمنية التقليدية بتشغيل التنبيهات أو الاستجابات فقط عندما يصبح النشاط الضار واضحًا، كما هو الحال أثناء تصعيد الامتيازات أو استخراج البيانات، من بين العديد من العلامات الحمراء الأخرى.
ومع ذلك، عند هذه النقطة، قد يكون المهاجم قد أثبت وجوده بالفعل داخل حدود الشبكة. في المقابل، يتمثل دور الخداع في تحديد الأنشطة الضارة المحتملة في وقت مبكر من دورة حياة الهجوم، خاصة أثناء محاولات الاستطلاع والتحقق من صحة بيانات الاعتماد.
يمكن أن يكون نوع الرؤية المتولدة دقيقًا للغاية، كما أن مراقبة الأفخاخ الخداعية التي يتم الوصول إليها تكشف عن الخدمات أو الأنظمة ذات الأهمية، في حين أن أي محاولة لاستخدام بيانات الاعتماد المزروعة يمكن أن تسلط الضوء على الحسابات أو مستويات الامتياز المستهدفة.
يمكن للخداع الفعال أيضًا تحديد الأنماط السلوكية التي يمكن أن تساعد في التمييز بين المسح الانتهازي ومحاولات التطفل المتعمدة والمستهدفة. من الناحية الأساسية، فهو يهدر أيضًا الوقت والموارد التي يفضل الخصوم إنفاقها على أنشطة الاختراق الحقيقية.
وضع الأسس الصحيحة
لا يقتصر الخداع الإلكتروني الفعال على مجرد مسألة دمج منصة أو خدمة في البنية التحتية الأمنية الحالية. منذ البداية، ينبغي النظر إليه على أنه عنصر تحكم تكميلي، وليس بديلاً عن النظافة الأمنية الأساسية القوية وانضباط التكوين.
على سبيل المثال، إذا لم تكن الأفخاخ الخداعية ذات صلة بالبيئة، فإنها تخاطر بالظهور بشكل مصطنع وتقليل مصداقيتها. على العكس من ذلك، إذا كانت تعكس البنية التحتية الحقيقية بشكل وثيق للغاية، فهناك خطر الكشف عن غير قصد عن معلومات مفيدة حول الهندسة المعمارية أو اصطلاحات التسمية.
من الضروري أن يتم دمج القياس عن بعد للخداع والتنبيه في سير عمل مركز عمليات الأمن (SOC) ومسارات التصعيد؛ وإلا فإن الخداع قد يصبح مصدرًا آخر للبيانات المنعزلة.
قم بجمع كل هذه التحديات معًا، وكما هو الحال مع أي قدرة كشف، فإن النجاح يعتمد بشكل أقل على التكنولوجيا نفسها وأكثر على قدرة المنظمة على التصرف بناءً على ما تكتشفه.
يجب على المنظمات المهتمة بمتابعة طريق الخداع السيبراني أن ترتكز جهودها على خطة منظمة. وينبغي أن يبدأ ذلك بتقييم صادق لنضج الأمن التنظيمي، بما في ذلك القدرة على المراقبة وعمليات الاستجابة للحوادث وقدرة المحلل.
ينبغي أن تشمل الأسئلة الرئيسية التي يجب مراعاتها أثناء عملية تحديد النطاق ما يلي:
- ما هو الهدف الأساسي من نشر الخداع؟ هل هو الاكتشاف المبكر أم تحسين الاستخبارات المتعلقة بالتهديدات أم تأخير المهاجم أم مزيج من هذه النتائج؟
- هل تعمل الضوابط الأساسية مثل إدارة التصحيح وحوكمة الهوية بشكل فعال قبل وضع طبقات الخداع في الأعلى؟
- كيف ستتوافق تنبيهات الخداع مع عمليات مركز عمليات الأمن (SOC) الحالية، وهل يتم تحديد قواعد اللعبة ومسارات التصعيد مسبقًا؟
- كيف سيتم دمج قياس الخداع عن بعد في منصات SIEM أو EDR أو MDR لتجنب إنشاء صوامع مراقبة متوازية؟
- من سيكون مسؤولاً عن ضبط ومراجعة مخرجات الخداع؟ هل سيتم ذلك داخليًا أم من خلال موفر أمان مُدار؟
- هل يتم التعامل مع الخداع باعتباره قدرة متوسطة إلى طويلة الأجل تتطور جنبًا إلى جنب مع النضج الأمني الأوسع، وليس باعتباره عملية شراء تكنولوجية لمرة واحدة؟
وعلى حد تعبير المركز الوطني للأمن الإلكتروني مؤخراً، فإن الخداع السيبراني “ليس مجرد توصيل وتشغيل” و”بدون استراتيجية واضحة، تخاطر المنظمات بنشر أدوات تولد الضجيج بدلاً من البصيرة”. ولكن على الرغم من التحديات، تظل هناك “حجة مقنعة لزيادة استخدام الخداع السيبراني”.
وفي نهاية المطاف، فإن المؤسسات التي تقوم بالأمر بشكل صحيح سوف تضع نفسها بالتأكيد في وضع جيد لتحسين وضعها الأمني العام.
لقد عرضنا أفضل دورة للأمن السيبراني عبر الإنترنت.
تم إنتاج هذه المقالة كجزء من قناة Expert Insights التابعة لـ TechRadarPro حيث نعرض أفضل وألمع العقول في صناعة التكنولوجيا اليوم. الآراء الواردة هنا هي آراء المؤلف وليست بالضرورة آراء TechRadarPro أو Future plc. إذا كنت مهتمًا بالمساهمة، اكتشف المزيد هنا: https://www.techradar.com/news/submit-your-story-to-techradar-pro
التعليقات