Per ogni organizzazione aziendale su Internet, virus, worm e cracker sono solo alcune minacce alla sicurezza. Soprattutto non possiamo dire quando, dove e come i nostri dati o qualsiasi altra informazione preziosa verranno compromessi. L'unica cosa che possiamo fare per garantire la sicurezza dei nostri dati è adottare misure preventive. Gli Honeypot sono uno di questi software preventivi che viene impiegato in una rete per studiare la traccia di accessi non autorizzati e allo stesso tempo avvisare l'amministratore di rete di una possibile intrusione. In realtà, si tratta di una trappola tesa per rilevare tentativi di utilizzo non autorizzato dei sistemi informativi. L'attaccante pensa sempre di estrarre alcune informazioni utili ma, a sua volta, un sistema installato honeypot lo attira lontano dalle risorse critiche e lo intrappola seguendo le sue tracce. Il valore di un Honeypot risiede nell'uso non autorizzato e illecito di tale risorsa.
L'idea alla base di un honeypot è quella di configurare un sistema "esca" che abbia un sistema operativo non rinforzato o uno che sembra avere molta vulnerabilità per un facile accesso alle sue risorse. Un Honeypot può rilevare gli attacchi acquisendo codice polimorfico, catturando una varietà di attacchi, lavorando con dati crittografati e acquisendo firme. Gli Honeypot sono un prezioso strumento di sorveglianza e di analisi della rete, ma allo stesso tempo possono comportare rischi per la rete e devono essere maneggiati con cura. Richiede una notevole quantità di amministrazione della rete e comprensione del protocollo e della sicurezza.
Honeypot funziona in 2 modalità
Modalità di ricerca :come suggerisce il nome, in questa modalità il software cerca di caratterizzare l'ambiente in base alle motivazioni dell'attaccante, alle tendenze di attacco e alle minacce emergenti.
Modalità di produzione :Questo è il luogo dove si svolgono tutte le attività di prevenzione. In questo momento l'honeypot viene utilizzato per prevenire, rilevare e rispondere agli attacchi. La prevenzione si ottiene attraverso la deterrenza e deviando un utente malintenzionato affinché interagisca con l'"esca" piuttosto che con i file critici.
Come funziona Honeypot?
Gli Honey pot sono generalmente basati su un server reale, un sistema operativo reale e dati che sembrano essere reali. Una delle differenze principali è la posizione della macchina rispetto ai server effettivi. L'attività più importante di un honeypot è acquisire i dati, la capacità di registrare, avvisare e catturare tutto ciò che sta facendo il cattivo. La maggior parte delle soluzioni honeypot, come Honeyd o Spectre, ha le proprie capacità di registrazione e avviso. Queste informazioni raccolte possono rivelarsi piuttosto critiche contro l'attaccante.
Vantaggi:
- Set di dati pertinente :Sebbene Honeypots raccolga una piccola quantità di dati, la maggior parte di questi dati è un vero attacco o un'attività non autorizzata.
- Falsi positivi ridotti :con la maggior parte delle tecnologie di rilevamento (IDS, IPS) un'ampia percentuale di avvisi sono falsi avvisi, mentre con Honeypot non è così.
- Conveniente in termini di costi :Honeypot interagisce solo con attività dannose e non richiede risorse ad alte prestazioni.
- Semplicità :Gli Honeypot sono molto semplici da comprendere, distribuire e mantenere.
Svantaggi:
- Visualizzazione limitata :gli Honeypot vedono solo le attività che interagiscono con loro e non catturano gli attacchi diretti contro altri sistemi esistenti.
- Rischio di essere compromessi :Un Honeypot può essere utilizzato come piattaforma per lanciare ulteriori attacchi.
Alla fine, non sarebbe sbagliato dire che gli honeypot sono buone risorse per rintracciare gli aggressori e il loro valore sta nell'essere attaccati. Ma allo stesso tempo, a causa degli svantaggi sopra elencati, Honeypots non può sostituire alcun meccanismo di sicurezza; possono solo lavorare per migliorare la sicurezza generale.