La sicurezza informatica non è sempre un caso degli aggressori che cercano di attaccare vittime e reti innocenti. Grazie a un sistema informatico di richiamo noto come "honeypot", questo ruolo viene talvolta invertito.

Mentre un vasetto di miele potrebbe far venire in mente l'immagine di Winnie the Pooh che si concede una gigantesca vasca di miele, ha una connotazione diversa nel mondo della sicurezza informatica.

Ma cos'è esattamente un honeypot e come aiuta a mitigare gli attacchi informatici? Esistono diversi tipi di honeypot e hanno anche alcuni fattori di rischio? Scopriamolo.

Che cos'è un miele?

Un honeypot è una tecnologia di inganno utilizzata dai team di sicurezza per intrappolare intenzionalmente gli attori delle minacce. Come parte integrante di un sistema di rilevamento e intelligence delle minacce, un honeypot funziona simulando infrastrutture, servizi e configurazioni critici in modo che gli aggressori possano interagire con questi falsi IT risorse.

Gli honeypot vengono generalmente implementati accanto ai sistemi di produzione che un'organizzazione già utilizza e che può essere a risorsa preziosa per saperne di più sul comportamento degli aggressori e sugli strumenti e le tattiche che impiegano per condurre la sicurezza attacchi.

instagram viewer

Un Honeypot può aiutare a mitigare gli attacchi informatici?

Un honeypot attrae bersagli dannosi nel sistema lasciando intenzionalmente una parte della rete aperta agli attori delle minacce. Ciò consente alle organizzazioni di condurre un attacco informatico in un ambiente controllato per misurare potenziali vulnerabilità nel loro sistema.

L'obiettivo finale di un honeypot è quello di migliorare la posizione di sicurezza di un'organizzazione da utilizzando la sicurezza adattiva. Se configurato correttamente, un honeypot può aiutare a raccogliere le seguenti informazioni:

  • L'origine di un attacco
  • Il comportamento dell'attaccante e il suo livello di abilità
  • Informazioni sui target più vulnerabili all'interno della rete
  • Le tecniche e le tattiche impiegate dagli attaccanti
  • L'efficacia delle politiche di sicurezza informatica esistenti nel mitigare attacchi simili

Un grande vantaggio di un honeypot è che puoi convertire qualsiasi file server, router o risorsa del computer attraverso la rete in uno. Oltre a raccogliere informazioni sulle violazioni della sicurezza, un honeypot può anche ridurre il rischio di falsi positivi poiché attira solo veri criminali informatici.

I diversi tipi di Honeypot

Gli honeypot sono disponibili in vari e design, a seconda del tipo di distribuzione. Ne abbiamo elencati alcuni di seguito.

Honeypot per scopo

Gli honeypot sono per lo più classificati per scopi come un honeypot di produzione o un honeypot di ricerca.

Honeypot di produzione: Un honeypot di produzione è il tipo più comune e viene utilizzato per raccogliere informazioni di intelligence sugli attacchi informatici all'interno di una rete di produzione. Un honeypot di produzione può raccogliere attributi come indirizzi IP, tentativi di violazione dei dati, date, traffico e volume.

Sebbene gli honeypot di produzione siano facili da progettare e implementare, non possono fornire un'intelligenza sofisticata, a differenza delle loro controparti di ricerca. In quanto tali, sono per lo più impiegati da aziende private e persino da personalità di alto profilo come celebrità e personaggi politici.

Honeypot di ricerca: Un tipo più complesso di honeypot, un honeypot di ricerca, viene creato per raccogliere informazioni su metodi e tattiche specifici utilizzati dagli aggressori. Viene anche utilizzato per scoprire le potenziali vulnerabilità che esistono all'interno di un sistema in relazione alle tattiche applicate dagli aggressori.

Gli honeypot di ricerca sono utilizzati principalmente da enti governativi, comunità di intelligence e organizzazioni di ricerca per stimare il rischio per la sicurezza di un'organizzazione.

Honeypot per livelli di interazione

Gli honeypot possono anche essere classificati per attributi. Questo significa semplicemente assegnare l'esca in base al suo livello di interazione.

Honeypot ad alta interazione: Questi honeypot non contengono troppi dati. Non sono progettati per imitare un sistema di produzione su vasta scala, ma eseguono tutti i servizi che farebbe un sistema di produzione, come un sistema operativo completamente funzionante. Questi tipi di honeypot consentono ai team di sicurezza di vedere le azioni e le strategie degli aggressori intrusi in tempo reale.

Gli honeypot ad alta interazione sono in genere ad alta intensità di risorse. Questo può presentare problemi di manutenzione, ma le informazioni che offrono valgono lo sforzo.

Honeypot a bassa interazione: Questi honeypot sono per lo più distribuiti in ambienti di produzione. Eseguendo su un numero limitato di servizi, fungono da punti di rilevamento precoce per i team di sicurezza. Gli honeypot a bassa interazione sono per lo più inattivi, in attesa che si verifichi qualche attività in modo che possano avvisarti.

Poiché questi honeypot mancano di servizi completamente funzionali, non resta molto da fare per i cyberattaccanti. Tuttavia, sono abbastanza facili da distribuire. Un tipico esempio di honeypot a bassa interazione sarebbe bot automatizzati che scansionano le vulnerabilità nel traffico Internet come bot SSH, forze brute automatizzate e bot di controllo della sanificazione degli input.

Honeypot per tipo di attività

Gli honeypot possono anche essere classificati in base al tipo di attività che deducono.

Honeypot di malware: A volte gli aggressori cercano di infettare i sistemi aperti e vulnerabili ospitando su di essi un campione di malware. Poiché gli indirizzi IP dei sistemi vulnerabili non sono in un elenco di minacce, è più facile per gli aggressori ospitare malware.

Ad esempio, un honeypot può essere utilizzato per imitare un dispositivo di archiviazione USB (Universal Serial Bus). Se un computer viene attaccato, l'honeypot inganna il malware per attaccare l'USB simulato. Ciò consente ai team di sicurezza di acquisire enormi quantità di nuovi campioni di malware dagli aggressori.

Honeypot di spam: Questi honeypot attirano gli spammer usando proxy aperti e relè di posta. Vengono utilizzati per raccogliere informazioni su nuovi spam e spam basati su e-mail poiché gli spammer eseguono test sui relay di posta utilizzandoli per inviare e-mail a se stessi.

Se gli spammer inviano con successo grandi quantità di spam, l'honeypot può identificare il test dello spammer e bloccarlo. Qualsiasi falso inoltro SMTP aperto può essere utilizzato come honeypot di spam in quanto può fornire informazioni sulle tendenze attuali dello spam e identificare chi sta utilizzando l'inoltro SMTP dell'organizzazione per inviare le e-mail di spam.

Honeypot cliente: Come suggerisce il nome, gli honeypot client imitano le parti critiche dell'ambiente di un client per aiutare con attacchi più mirati. Sebbene non vengano utilizzati dati di lettura per questi tipi di honeypot, possono rendere qualsiasi host falso simile a uno legittimo.

Un buon esempio di honeypot client potrebbe essere l'utilizzo di dati stampabili con le impronte digitali, come informazioni sul sistema operativo, porte aperte e servizi in esecuzione.

Procedi con cautela quando usi un Honeypot

Con tutti i suoi meravigliosi vantaggi, un honeypot ha il potenziale per essere sfruttato. Mentre un honeypot a bassa interazione potrebbe non comportare alcun rischio per la sicurezza, un honeypot ad alta interazione a volte può diventare un esperimento rischioso.

Un honeypot in esecuzione su un vero sistema operativo con servizi e programmi può essere complicato da implementare e può aumentare involontariamente il rischio di intrusioni esterne. Questo perché se l'honeypot è configurato in modo errato, potresti finire per concedere agli hacker l'accesso alle tue informazioni sensibili inconsapevolmente.

Inoltre, i cyberattaccanti stanno diventando sempre più intelligenti di giorno in giorno e possono cacciare honeypot mal configurati per dirottare i sistemi connessi. Prima di avventurarti nell'uso di un honeypot, tieni presente che più semplice è l'honeypot, minore è il rischio.

Che cos'è un attacco Zero-Click e cosa lo rende così pericoloso?

Non richiedendo l'interazione dell'utente "zero", nessuna quantità di precauzioni di sicurezza o vigilanza può scoraggiare un attacco zero-click. Esploriamo ulteriormente.

Leggi Avanti

CondividereTweetE-mail
Argomenti correlati
  • Sicurezza
  • Sicurezza informatica
  • Sicurezza in linea
  • Sicurezza
Circa l'autore
Kinza Yasar (70 articoli pubblicati)

Kinza è una giornalista tecnologica con una laurea in Reti informatiche e numerose certificazioni IT al suo attivo. Ha lavorato nel settore delle telecomunicazioni prima di avventurarsi nella scrittura tecnica. Con una nicchia nella sicurezza informatica e negli argomenti basati sul cloud, le piace aiutare le persone a comprendere e apprezzare la tecnologia.

Altro da Kinza Yasar

Iscriviti alla nostra Newsletter

Iscriviti alla nostra newsletter per suggerimenti tecnici, recensioni, ebook gratuiti e offerte esclusive!

Clicca qui per iscriverti