honeypot sono trappole che sono impostate per rilevare tentativi di qualsiasi uso non autorizzato di sistemi di informazione, al fine di imparare dagli attacchi per migliorare ulteriormente la sicurezza del computer.
Tradizionalmente, il mantenimento della sicurezza della rete ha comportato un'azione di vigilanza, utilizzando tecniche di difesa basate sulla rete come firewall, sistemi di rilevamento delle intrusioni e crittografia. Ma la situazione attuale richiede tecniche più proattive per rilevare, deviare e neutralizzare i tentativi di utilizzo illegale dei sistemi di informazione. In tale scenario, l'uso di honeypot è un approccio proattivo e promettente per combattere le minacce alla sicurezza della rete.
Cos'è un Honeypot
Considerando il campo classico della sicurezza informatica, un computer deve essere sicuro, ma nel dominio di honeypot, i buchi di sicurezza sono impostati per aprire di proposito. Honeypot può essere definito come una trappola che è impostata per rilevare i tentativi di qualsiasi utilizzo non autorizzato dei sistemi di informazione. Gli Honeypot in sostanza accendono le tabelle per gli hacker e gli esperti di sicurezza informatica. Lo scopo principale di Honeypot è rilevare e imparare dagli attacchi e utilizzare ulteriormente le informazioni per migliorare la sicurezza. Gli honeypot sono stati a lungo usati per tracciare l'attività degli attaccanti e difendersi dalle minacce in arrivo. Esistono due tipi di honeypot:
- Honeypot di ricerca - Un Honeypot di ricerca viene utilizzato per studiare le tattiche e le tecniche degli intrusi. Viene utilizzato come post di controllo per vedere come funziona un utente malintenzionato quando compromette un sistema.
- Honeypot di produzione - Questi sono principalmente utilizzati per il rilevamento e per proteggere le organizzazioni. Lo scopo principale di un honeypot di produzione è aiutare a mitigare il rischio in un'organizzazione.
Perché configurare Honeypot
Il valore di un honeypot è soppesato dalle informazioni che possono essere ottenute da esso. Il monitoraggio dei dati che entrano e lascia un honeypot consente all'utente di raccogliere informazioni che non sono altrimenti disponibili. Generalmente, ci sono due motivi popolari per impostare un Honeypot:
Comprensione
Scopri come gli hacker sondano e tentano di accedere ai tuoi sistemi. L'idea generale è che, dal momento che viene conservata una registrazione delle attività del colpevole, è possibile ottenere una comprensione delle metodologie di attacco per proteggere meglio i loro sistemi di produzione reali.
Raccogliere informazioni
Raccogliere informazioni forensi necessarie per aiutare l'arresto o il perseguimento degli hacker. Questo è il tipo di informazione che è spesso necessaria per fornire ai funzionari delle forze dell'ordine i dettagli necessari per perseguire.
Come Honeypots protegge i sistemi informatici
Un Honeypot è un computer connesso a una rete. Questi possono essere utilizzati per esaminare le vulnerabilità del sistema operativo o della rete. A seconda del tipo di installazione, è possibile studiare i buchi di sicurezza in generale o in particolare. Questi possono essere usati per osservare le attività di un individuo che ha ottenuto l'accesso a Honeypot.
Gli Honeypot sono generalmente basati su un server reale, un sistema operativo reale e dati che sembrano reali. Una delle principali differenze è la posizione della macchina in relazione ai server attuali. L'attività più vitale di un honeypot è acquisire i dati, la possibilità di accedere, avvisare e catturare tutto ciò che sta facendo l'intruso. Le informazioni raccolte possono rivelarsi piuttosto critiche nei confronti dell'attaccante.
Honeypot ad alta interazione e a bassa interazione
Gli honeypot ad alta interazione possono essere completamente compromessi, consentendo al nemico di ottenere pieno accesso al sistema e utilizzarlo per lanciare ulteriori attacchi di rete. Con l'aiuto di questi honeypot, gli utenti possono apprendere di più sugli attacchi mirati contro i loro sistemi o persino sugli attacchi interni.
Al contrario, gli honeypot a bassa interazione mettono solo servizi che non possono essere sfruttati per ottenere l'accesso completo all'honeypot. Questi sono più limitati ma sono utili per raccogliere informazioni ad un livello superiore.
Vantaggi dell'utilizzo di Honeypot
Raccogli dati reali
Mentre Honeypot raccoglie un piccolo volume di dati ma quasi tutti questi dati sono un vero attacco o un'attività non autorizzata.
Falso positivo ridotto
Con la maggior parte delle tecnologie di rilevamento (IDS, IPS) una grande percentuale di avvisi è falsi avvisi, mentre con Honeypot questo non vale.
Costo effettivo
Honeypot interagisce solo con attività dannose e non richiede risorse ad alte prestazioni.
crittografia
Con un honeypot, non importa se un utente malintenzionato utilizza la crittografia; l'attività verrà comunque catturata.
Semplice
Gli honeypot sono molto semplici da capire, implementare e mantenere.
Un Honeypot è un concetto e non uno strumento che può essere semplicemente implementato. Bisogna sapere bene in anticipo cosa intendono apprendere, e quindi l'honeypot può essere personalizzato in base alle proprie esigenze specifiche. Ci sono alcune informazioni utili su sans.org se hai bisogno di leggere di più sull'argomento.
