‌چند هفته پیش، سی و دومین دوره RSA، یکی از بزرگترین کنفرانس‌های امنیت سایبری جهان، در سانفرانسیسکو به پایان رسید. در میان نکات مهم این کنفرانس، کوین ماندیا، مدیر عامل Mandiant در Google Cloud، مروری بر وضعیت امنیت سایبری ارائه کرد. مندیا در جریان سخنرانی خود اظهار داشت :
‌
«گام‌های واضحی وجود دارد که سازمان‌ها می‌توانند فراتر از پادمان‌ها و ابزار‌های امنیتی رایج برای تقویت دفاع خود بردارند و شانس خود را برای شناسایی، خنثی کردن یا به حداقل رساندن حمله افزایش دهند؛ Honeypot یا حساب‌های جعلی که عمدا توسط کاربران مجاز دست‌نخورده باقی می‌مانند، در کمک به شما موثر هستند. سازمان‌ها نفوذ‌ها یا فعالیت‌های مخربی را شناسایی می‌کنند که محصولات امنیتی نمی‌توانند جلوی آن‌ها را بگیرند».
‌
«ساخت honeypots» یکی از هفت توصیه وی برای کمک به سازمان‌ها جهت جلوگیری از برخی حملاتی بود که ممکن است نیاز به تعامل با شرکت‌های واکنش به حوادث، داشته باشند.
‌
صرفا جهت یادآوری، هانی‌پات‌ها سیستم‌های فریب هستند که برای فریب دادن مهاجمان و منحرف کردن توجه آنها از اهداف واقعی تنظیم شده‌اند. آنها معمولا به‌عنوان یک مکانیسم امنیتی برای شناسایی، منحرف کردن یا بررسی تلاش‌های مهاجمان برای دسترسی غیرمجاز به یک شبکه استفاده می‌شوند. هنگامی که مهاجمان با هانی‌پات تعامل می‌کنند، سیستم می‌تواند اطلاعاتی در مورد حمله و تاکتیک‌ها، تکنیک‌ها و رویه‌های مهاجم (TTP) جمع‌آوری کند.
‌
در عصر دیجیتالی که با وجود بودجه به‌ظاهر فزاینده‌ای که هر‌ساله به امنیت تخصیص می‌یابد و نقض داده‌ها به‌طور چشمگیری رایج است، ماندیا اشاره کرد که اتخاذ یک رویکرد فعال برای محدود کردن تاثیر نقض داده‌ها بسیار مهم است. از این‌رو نیاز به تغییر رویه همشگی در مورد مهاجمان و ایجاد علاقه مجدد به هانی‌پات‌ها است.
‌
اگرچه هانی‌پات‌ها راه‌حلی موثر برای رد‌یابی مهاجمان و جلوگیری از سرقت داده‌ها هستند، اما به دلیل مشکلات راه اندازی و نگهداری هنوز به طور گسترده مورد استفاده قرار نگرفته‌اند. برای جذب مهاجمان، یک هانی پات باید مشروع و جدا از شبکه تولید واقعی به نظر برسد، که راه‌اندازی و مقیاس‌بندی آن‌ها را برای تیم محافظت که به‌دنبال توسعه قابلیت‌های تشخیص نفوذ هستند، چالش‌برانگیز می‌کند.
‌
اما این همه ماجرا نیست. در دنیای امروزه، زنجیره تامین نرم‌افزار بسیار پیچیده است و از بسیاری از اجزای شخص ثالث مانند ابزار‌های SaaS، API‌ها و لایبرری‌هایی که اغلب از فروشندگان و تامین‌کنندگان مختلف تهیه می‌شوند، تشکیل شده است. اجزا در هر سطح از استک ساختار نرم‌افزار اضافه می‌شوند و مفهوم محیط "ایمن" را که نیاز به دفاع دارد به چالش می‌کشد. این تنوع بین آنچه به‌صورت داخلی کنترل می‌شود و آنچه که نیست، می‌تواند هدف هانی‌پات‌ها را شکست دهد : در این دنیای تحت رهبری DevOps، سیستم‌های مدیریت کد منبع و خطوط پایپینگ یکپارچه‌سازی مداوم، طعمه واقعی هکر‌ها هستند که هانی‌پات‌های سنتی نمی‌توانند از آنها تقلید کنند.
‌
برای اطمینان از امنیت و یکپارچگی زنجیره تامین نرم‌افزار خود، سازمان‌ها به رویکرد‌های جدیدی مانند هانی‌توکن‌ها نیاز دارند، که در هانی‌پات‌ها همان چیزی است که طعمه‌های ماهیگیری را در تور‌های ماهیگیری و برای ماهی‌ها جذاب می‌نماید : آنها به حداقل منابع نیاز دارند اما در شناسایی حملات بسیار موثر هستند.
‌
طعمه‌های HoneyToken
‌هانی توکن‌ها، زیرمجموعه‌ای از هانی پات‌ها هستند که به گونه‌ای طراحی شده‌اند تا مانند یک اعتبارنامه قانونی یا اطلاعات سری ظاهر شوند. هنگامی که یک مهاجم از هانی توکن استفاده می‌کند، بلافاصله یک هشدار فعال می‌شود. این امر، به مدافعان سایبری اجازه می‌دهد تا بر اساس شاخص‌های سازش، مانند آدرس IP (برای تشخیص مبدا داخلی از خارجی)، بازه زمانی، ایجنت‌های کاربر، منبع و لاگ‌های مربوط به تمام اقدامات انجام‌شده در هانی توکن و سیستم‌های مرتبط، اقدام سریعی را اتخاذ کرده و اعمال کنند.
‌
با هانی توکن، طعمه در اصل اعتبارنامه است. هنگامی که یک سیستم نقض می‌شود، هکر‌ها معمولا به‌دنبال اهداف آسان برای حرکت جانبی، افزایش اختیارات یا سرقت داده‌ها می‌گردند. در این زمینه، اعتبارنامه برنامه‌ریزی‌شده مانند کلید‌های API متعلق به Cloud یک هدف ایده‌آل برای اسکن هستند، زیرا الگوی قابل تشخیصی دارند و اغلب حاوی اطلاعات مفیدی برای مهاجم هستند. بنابراین، آنها نشان‌دهنده یک هدف اصلی برای مهاجمان برای جستجو و بهره‌برداری در طول یک نقض هستند. در نتیجه، آنها همچنین ساده‌ترین طعمه جهت انتشار برای مدافعان هستند : می‌توانند روی دارایی‌های ابری، سرور‌های داخلی، ابزار‌های SaaS شخص ثالث و همچنین ایستگاه‌های کاری یا فایل‌ها میزبانی شوند.
‌
به طور متوسط ٣٢٧ روز طول می‌کشد تا یک نقض داده شناسایی شود. با پخش کردن هانی‌توکن‌ها در مکان‌های مختلف، تیم‌های امنیتی می‌توانند در عرض چند دقیقه موارد نقض را شناسایی کنند و امنیت پایپینگ تحویل نرم‌افزار را در برابر نفوذ‌های احتمالی افزایش دهند. یک مزیت قابل توجه هانی‌توکن‌ها، سادگی آنها است که نیاز به توسعه کل سیستم فریب را از بین می‌برد. سازمان‌ها به‌راحتی می‌توانند هانی‌توکن‌ها را در مقیاس سازمانی ایجاد، استقرار و مدیریت کنند و هزاران مخزن کد را به طور همزمان ایمن کنند.
‌
آینده تشخیص نفوذ
‌حوزه تشخیص نفوذ برای مدت مدیدی تحت نظارت دنیای DevOps باقی مانده است. اما واقعیت موجود این است که زنجیره‌های تامین نرم‌افزار هدف، اولویت جدید مهاجمان است، که متوجه شده‌اند محیط‌های توسعه و ساخت بسیار کمتر از محیط‌های تولید محافظت می‌شوند. در دسترس‌تر کردن فناوری هانی‌پات و همچنین آسان‌تر کردن عرضه آن در مقیاس با استفاده از اتوماسیون، بسیار مهم است.
‌
مجموعه GitGuardian که یک پلتفرم امنیتی کد می‌باشد، اخیرا قابلیت Honeytoken خود را برای انجام این ماموریت راه اندازی کرده است. این شرکت به‌عنوان یک پیشرو در کشف و رفع نقص‌ها، موقعیت منحصر‌به‌فردی دارد تا یک مشکل و پخش اطلاعات محرمانه را به یک مزیت دفاعی تبدیل کند. برای مدت طولانی، این پلتفرم بر اهمیت تقسیم مسئولیت امنیتی بین توسعه‌دهندگان و تحلیلگران AppSec تاکید کرده است. اکنون هدف این است که در تشخیص نفوذ، با فعال کردن تعداد بیشتری از آنها برای تولید اعتبارنامه در راستای فریب و قرار دادن آنها در مکان‌های استراتژیک در سراسر استک توسعه نرم‌افزار به سمت دیگری حرکت کنیم. این امر با ارائه ابزاری به توسعه‌دهندگان امکان‌پذیر می‌شود که به آنها اجازه می‌دهد تا هانی‌توکن‌ها را ایجاد کرده و آنها را در مخازن کد و زنجیره تامین نرم‌افزار قرار دهند.
‌
ماژول Honeytoken همچنین به طور خودکار نشت کد در GitHub را شناسایی می‌کند: وقتی کاربران هانی‌توکن‌ها را در کد خود قرار می‌دهند، GitGuardian می‌تواند تعیین کند که آیا آنها در GitHub عمومی لو رفته‌اند یا خیر و به طور قابل توجهی تاثیر نقض‌هایی مانند موارد افشا شده توسط Twitter، LastPass، Slack، Okta و سایرین را کاهش می‌دهد.
‌
نتیجه‌گیری
‌همانطور که صنعت با سرعت نرم‌افزار به رشد خود ادامه می‌دهد، ضروری است که امنیت برای مجموعه‌ها قابل دسترسی‌تر باشد. Honeytoken‌ها یک راه‌حل فعال و ساده برای تشخیص نفوذ در زنجیره تامین نرم‌افزار در اسرع اوقات را ارائه می‌دهد. آنها می‌توانند به شرکت‌ها در هر اندازه‌ای کمک کنند تا سیستم‌های خود را صرف نظر از پیچیدگی استک یا ابزار‌هایی که استفاده می‌کنند، ایمن نمایند : سیستم‌های مدیریت کنترل منبع (SCM)، پایپلاین‌های استقرار مستمر یکپارچه‌سازی (CI/CD) و ثبت آرتیفکت‌های نرم‌افزار، در کنار دیگر موارد.
‌
مجموعه GitGuardian با راه‌اندازی ساده و رویکرد آسان برای استفاده، این فناوری را برای کمک به سازمان‌ها در ایجاد، استقرار و مدیریت هانی‌توکن‌ها در مقیاس سازمانی بزرگ‌تر، ادغام می‌کند و تاثیر نقض‌های احتمالی داده را به میزان قابل توجهی کاهش می‌دهد.
‌
آینده هانی‌توکن‌ها روشن به نظر می‌رسد، و به همین دلیل است که دیدن گزارش کوین ماندیا از مزایای هانی‌پات‌ها برای بزرگترین شرکت‌های امنیت سایبری در RSA در سال‌جاری تعجب‌آور نیست.