Molte aziende dipendono attualmente da grandi quantità di dati ottenuti su Internet attraverso il web scraping per prendere decisioni aziendali. Tuttavia, il web scraping deve spesso affrontare diverse sfide, una delle quali è rappresentata dalle trappole honeypot.
D'altra parte, anche le Honeypot sono una risorsa vitale per la sicurezza informatica della vostra organizzazione.
Questo articolo fornirà quindi una panoramica sulle honeypot prima di passare a come evitare le trappole delle honeypot nel web scraping.
L'Honeypots nella sicurezza di rete è un sistema di esca progettato in modo simile a un sistema legittimo compromesso. Il suo obiettivo principale è quello di indurre i criminali informatici ad acquistare tempo e fatica per sfruttare le vulnerabilità intenzionali di un sistema informatico. In seguito, avvisa il team di cybersicurezza interno dei tentativi di compromissione degli aggressori.
Questa allerta consentirebbe al team di sicurezza di indagare sugli attacchi in diretta attraverso gli honeypot per mitigare le vulnerabilità e allontanare gli aggressori dal causare danni al sistema legittimo.
Poiché le honeypot sono identiche a un sistema informatico reale con software applicativo e dati per ingannare i criminali informatici, vengono deliberatamente sviluppate con falle di sicurezza. Un esempio lampante è rappresentato da alcune porte vulnerabili lasciate aperte per attirare gli aggressori nell'honeypot anziché nel sistema reale.
Inoltre, un altro scenario di honeypot potrebbe essere quello di imitare una pagina di gateway di pagamento su Internet, che sarebbe un bersaglio ideale per i criminali informatici per spiare i numeri di carta di credito. Una volta che un criminale informatico approda su una pagina di questo tipo, il team di sicurezza può valutare il suo comportamento e tracciare i suoi movimenti per rendere più sicuro il gateway di pagamento legittimo.
Dal punto di vista del funzionamento delle honeypots, si può considerare uno strumento prezioso che aiuta a identificare le vulnerabilità della sicurezza dell'organizzazione e a individuare nuove minacce. Inoltre, analizzerete le tendenze degli aggressori e introdurrete meccanismi per proteggervi da tali minacce.
Le Honeypots possono essere classificate in base al loro livello di distribuzione e di coinvolgimento. In base alla distribuzione, si possono classificare come:
Honeypots di produzione - questi honeypots sono distribuiti accanto a server di produzione reali sulla rete interna dell'organizzazione. Il loro obiettivo è rilevare gli attacchi attivi sulla rete interna e deviarli dal server legittimo.
Honeypots di ricerca - al contrario, le honeypots di ricerca sono utilizzate per raccogliere e analizzare il modo in cui un attaccante attuerebbe un potenziale attacco al sistema, analizzando il suo comportamento. Grazie a questa analisi, il team di sicurezza è in grado di migliorare la difesa del sistema.
In base ai livelli di coinvolgimento, le honeypots possono essere classificate come segue:
Honeypots puri: si tratta di sistemi di produzione in scala reale che sembrano contenere dati riservati o sensibili. I team di sicurezza monitorano le intenzioni degli aggressori attraverso il bug tap installato nel punto in cui gli honeypot si connettono alla rete.
Honeypots ad alta interazione: lo scopo principale è far sì che l'attaccante investa il maggior tempo possibile per infiltrarsi nelle falle di sicurezza e attaccare il sistema. Ciò consente ai team di cybersecurity di osservare l'obiettivo degli aggressori all'interno del sistema e di scoprirne le vulnerabilità. Un tipico esempio di honeypot ad alta interazione è un database.
Honeypot a media interazione: imita il livello dell'applicazione senza un sistema operativo, in modo che l'attaccante sia confuso o ritardi la sua missione. In questo modo gli esperti di sicurezza possono guadagnare tempo per rispondere all'attacco in questo scenario.
Honeypot a bassa interazione: queste honeypot sono facili da configurare e utilizzano il protocollo TCP (Transmission Control Protocol), il protocollo Internet (IP) e i servizi di rete. Richiedono meno risorse. Il loro obiettivo principale è simulare i sistemi che gli aggressori prendono più comunemente di mira. In questo modo gli esperti di sicurezza raccolgono informazioni sul tipo di attacco e sul suo punto di origine. I team di sicurezza li utilizzano anche per i meccanismi di rilevamento precoce.
Finora si è scoperto che una honeypot è una singola macchina virtuale in una rete. Le reti di miele, invece, sono una serie di honeypot collegate in rete tra loro, come mostrato nel diagramma seguente. Una singola honeypot non è sufficiente per monitorare il traffico sospetto che entra in una rete più estesa.
Le honeynet sono collegate al resto della rete attraverso un gateway "honeywall" che monitora il traffico in entrata nella rete e lo indirizza ai nodi honeypot.
Con l'aiuto di honeynet, il team di sicurezza può indagare sulle minacce di cybersecurity di grandi dimensioni, come gli attacchi DDOS (Distributed Denial of Service) e i ransomware. Poi il team di sicurezza può prendere le precauzioni del caso per allontanare gli aggressori dal sistema reale.
Le Honeynet proteggono l'intera rete dal traffico sospetto in entrata e in uscita e fanno parte di una rete di intrusione estesa.
Ora si potrebbe pensare che con la presenza di honeypots la rete sia completamente sicura. Tuttavia, la realtà non è questa, poiché le honeypots presentano diversi svantaggi e non sostituiscono alcun meccanismo di sicurezza.
Le honeypot non sono in grado di rilevare tutte le minacce alla sicurezza: il fatto che una particolare minaccia non si sia infiltrata nelle falle della honeypot non significa che non possa entrare nel sistema legittimo. D'altro canto, un hacker esperto potrebbe considerare illegittima una honeypot e attaccare altri sistemi di rete, lasciando intatta la honeypot.
Un aggressore potrebbe anche eseguire attacchi di spoofing per distogliere l'attenzione dall'exploit effettivo all'ambiente di produzione.
Peggio ancora, un hacker più innovativo potrebbe utilizzare l'honeypot per accedere all'ambiente di produzione. Questa è la ragione evidente per cui le honeypot non possono sostituire altri meccanismi di sicurezza come i firewall. Poiché l'honeypot può fungere da trampolino di lancio per attaccare il resto del sistema, è necessario prendere le dovute precauzioni per ogni honeypot presente nella rete.
Esistono trappole per evitare il web scraping illegale, che implica solo una manciata di scrapers che raschiano informazioni protette da copyright. Purtroppo, a causa di questi pochi scraper, anche gli scraper legittimi devono pagare il prezzo a volte. Questo perché le honeypots non sono in grado di distinguere gli scrapers legittimi da quelli non legittimi.
Le pagine Web contengono collegamenti a cui solo i crawler possono accedere. Pertanto, quando un crawler effettua lo scraping di dati da tali link, il sito Web rileva l'attività di crawling. Pertanto, un sito Web con trappole honeypot può facilmente tracciare e rilevare la vostra attività di scraping del Web, poiché lo scraping da questi siti è illegale. Di conseguenza, è probabile che il vostro IP venga bloccato e che quindi non possiate ottenere i dati desiderati.
Per adescare gli scrapers, alcuni siti con link "honeypot" utilizzano la proprietà CSS display su none. È quindi necessario assicurarsi che il crawler segua solo i link visibili. Inoltre, per evitare blocchi, è meglio seguire le regole e le linee guida del sito web che si sta scrapando.
Sebbene le honeypots presentino alcuni rischi, i benefici sono certamente superiori ai rischi, come mostrato nella sezione sulle limitazioni. Pertanto, gli honeypots sono un meccanismo essenziale da avere quando si considera l'investimento in sicurezza per la propria organizzazione. D'altro canto, assicuratevi che siano professionisti esperti ad effettuare le valutazioni sulla sicurezza e sugli honeypots.