מלכודת דבש (מחשבים)

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה אל: ניווט, חיפוש

מלכודת דבשאנגליתHoneypot) הוא מושג בתחום המחשבים, המתייחס למנגנון לאבטחת מחשבים המתוכנן לזהות, להסיט, ובחלק מהמקרים לנטרל ניסיונות לשימוש בלתי מורשה במערכות מידע. באופן כללי, מלכודת דבש מכילה נתונים אשר נראים כחלק מנתוני בסיס הנתונים או המערכת, ושלכאורה מכילים מידע בעל ערך לתוקפים, אך למעשה הם מבודדים ומנוטרים וחוסמים למעשה את התוקפים. ניתן להקביל זאת להצבת פיתיון משטרתי ולביצוע מעקב סמוי, עד לתפיסת העבריין וענישתו.

תרשים מלכודת דבש

סוגים[עריכת קוד מקור | עריכה]

מלכודות דבש יכולות להיות מסווגות בהתאם למיקום שלהן, ובהתאם לרמת המעורבות שלהן. בהתייחס למיקום, ניתן לסווג מלכודות דבש כ:

  1. מלכודות דבש בייצור
  2. מלכודות דבש במחקר

מלכודות דבש בייצור קלות לשימוש, לוכדות רק מידע מועט, ונמצאות בשימוש בעיקר בידי חברות או תאגידים. מלכודות אלה מותקנות בתוך רשת הייצור עם שרתי ייצור אחרים, במטרה לשפר את האבטחה. בדרך כלל, מלכודות דבש אלה בעלות מעורבות נמוכה, ולכן קל יותר לפרוס ולהתקין אותן. הן נותנות פחות מידע על התוקפים או המתקפות מאשר מלכודות דבש במחקר.

מלכודות דבש במחקר מריצות יותר מידע על המניעים והשיטות של קהילת התוקפים, המתקיפים רשתות שונות. מלכודות דבש אלה לא מוסיפות ערך מוסף ישיר לארגון. במקום זאת, הן משמשות לצורך מחקר וניתוח האיומים איתם מתמודדים הארגונים וכדי ללמוד איך להגן בצורה טובה יותר מפני אותם איומים. מלכודות דבש אלה מורכבות יותר לפריסה ותחזוקה, לוכדות מידע רב ונמצאות בשימוש ארגוני מחקר, צבא וממשל בעיקר.

בהתבסס על הקריטריונים לעיצוב, ניתן לסווג מלכודות דבש כ:

  1. מלכודות דבש טהורות
  2. מלכודות דבש באינטרקציה גבוהה
  3. מלכודות דבש באינטרקציה נמוכה

מלכודות דבש טהורות הן מערכות ייצור מלאות על כל המשתמע מכך. הפעילות של התוקף מנוטרת האזנה לקישור שהותקן על מלכודות הדבש לרשת. אין צורך להתקין תוכנות נוספות. על אף שמלכודות אלה הן מועילות, הסתרת מנגונני האבטחה יכולה להיות מובטחת על ידי מנגון מבוקר יותר.

מלכודות דבש באינטרקציה גבוהה מחקות את הפעילויות של מערכות הייצור של החברה, ועל כן ניתן לאפשר לתוקף גישה לשירותים רבים על מנת שיבזבז את זמנו. על ידי התקנת מכונות וירטואליות, ניתן להתקין מלכודות דבש מרובות על מכונה פיזית אחת. כך, אם הצליחו לפגוע במלכודת דבש, ניתן לאחזר אותה במהירות. באופן כללי, מלכודות אלה מספקות יותר אבטחה מכיוון שקשה לזהות אותן, אך יקרות לתחזוקה. אם מכונות וירטואליות אינן זמינות, יש צורך במחשב פיזי לכל מלכודת דבש, דבר אשר מיקר את העלות. 

מלכודות דבש באינטרקציה נמוכה מחקה רק את השירותים מהבוקשים ביותר על ידי התוקפים. מכיוון שהן צורכות פחות משאבים, מספר מכונות וירטואליות יכולות להתארח בקלות על מערכת פיזית אחת, למערכות הווירטואליות זמן תגובה קצר, פחות תחזוקת קוד, ובכך מפיחתות את מורכבות אבטחת המערכות הווירטואליות.

מלכודות דבש לנוזקות[עריכת קוד מקור | עריכה]

מלכודות דבש לנוזקות משמשות לזיהוי נוזקה על ידי ניצול דרך ההתפשטות (וקטור) הידוע של הנוזקה. וקטור לשכפול כמו דיסק און קי יכול להיות מאומת בקלות לבחינת עדויות של שינויים, באמצעות בדיקות ידניות או באמצעות מלכודות דבש המדמות כוננים. 

גרסאות ספאם[עריכת קוד מקור | עריכה]

ספאמרים מנצלים משאבים כמו מערכות דואר פתוחות. חלק ממנהלי המערכות יצרו תוכנות מלכודת דבש אשר מטעות את הספאמר המשתמש במשאבים ובכך חושפות את פעילותו. 

מלכודת דוא"ל[עריכת קוד מקור | עריכה]

כתובת דוא"ל שמשמשת רק לצורך קבלת ספאם יכולה להחשב גם כסוג של מלכודת דבש. 

מלכודת דבש נתונים[עריכת קוד מקור | עריכה]

בסיסי נתונים מותקפים לעתים קרובות על ידי הזרקת SQL. מכיוון שפעילות זו לא מזוהה על ידי חומות אש בסיסיות, חברות משתמשות בחומות אש ייעודיות לבסיסי נתונים. חלק מחומות האש הזמינות ל-SQL מאפשרות אכיטקטורת מלכודת דבש, כך שהתוקף נתקל במלכודת של בסיס נתונים, בעוד אפליקציית הרשת לא נפגעת.

רשתות דבש[עריכת קוד מקור | עריכה]

2 מלכודות דבש או יותר יוצרות רשת דבש (honeynet). לרוב, רשת דבש משמשת לניטור רשת גדולה שבה מלכודת דבש אחת לא מספיקה. 

מטפורה[עריכת קוד מקור | עריכה]

המטפורה של דב הנמשך לדבש וגונב אותו נפוצה עמים שונים, כולל גרמניים וסלביים. המסורת של הפצת סיפורים על דובים הגונבים דבש הועברה באמצעות סיפורים ופולקלורים, ובכללם הסיפור הידוע, פו הדב.

קישורים חיצוניים[עריכת קוד מקור | עריכה]