Che cos'è un Honeypot e come funziona?

Internet ha aperto le porte alle organizzazioni pubbliche e private per connettersi e condividere rapidamente le informazioni. I vantaggi sono molti, come una migliore collaborazione, una maggiore produttività, una comunicazione più rapida, ecc. Tuttavia, questi vantaggi comportano alcuni rischi. La vostra organizzazione potrebbe essere preda di hacker in grado di aggirare i più recenti metodi di sicurezza informatica.

Internet ha aperto le porte alle organizzazioni pubbliche e private per connettersi e condividere rapidamente le informazioni. I vantaggi sono molti, come una migliore collaborazione, una maggiore produttività, una comunicazione più rapida, ecc.

Tuttavia, questi vantaggi comportano alcuni rischi. La vostra organizzazione potrebbe essere preda di hacker in grado di aggirare i più recenti metodi di soluzioni di sicurezza informatica. Potreste cercare di difendervi da questi hacker con un software antivirus, un firewall, un elenco di controllo degli accessi (ACL) sul router o un sistema di rilevamento delle intrusioni (IDS).

Nonostante i vostri sforzi, è possibile che un hacker o un intruso riesca ad accedere al vostro sistema senza autorizzazione. Gli hacker dispongono di strumenti all'avanguardia per scansionare la rete alla ricerca di vulnerabilità e sferrare un attacco direttamente mirato ad esse, e imparano sempre a bypassare i nuovi sistemi di sicurezza. Tuttavia, esiste un modo per evitare che gli hacker si introducano nel vostro sistema. Le Honeypots possono ingannare gli hacker facendo credere loro che si tratti di un potenziale obiettivo da attaccare.

Le honeypot sono un meccanismo di sicurezza per attirare gli aggressori e tenerli impegnati. Una honeypot è impostata come un'esca per capire il comportamento dell'attaccante. In questo modo è possibile comprendere le proprie vulnerabilità e migliorare le proprie politiche di sicurezza.

Che cos'è un Honeypot?

Una honeypot può essere qualsiasi risorsa dell'organizzazione. Può trattarsi di software, reti, server, router o qualsiasi applicazione di alto valore che si presenta su Internet come un sistema vulnerabile che gli aggressori possono colpire. 

È possibile far eseguire l'applicazione honeypot a un computer della rete. Viene deliberatamente visualizzato come compromesso nella rete per essere sfruttato dagli aggressori.

Come funziona Honeypot?

Il sistema honeypot appare legittimo con applicazioni e dati per far credere agli aggressori che si tratti di un computer reale sulla rete e farli cadere nella trappola che avete teso.

Una volta compromesso il sistema, è possibile utilizzare gli strumenti di gestione della sicurezza per tracciare e valutare il comportamento dell'intruso. L'honeypot è uno strumento che fornisce informazioni sulle minacce attuali. Con queste informazioni, si ottengono gli indizi per costruire un quadro di sicurezza migliore.

Possono essere utilizzate per studiare le minacce alla sicurezza informatica, le violazioni e le tecnologie utilizzate dagli intrusi per penetrare nella rete. Un altro vantaggio dell'implementazione di un honeypot nella rete è rappresentato da:

1. Meno falsi positivi.
2. Deviare il traffico dannoso dai sistemi valutati nella rete.
3. Avvisare tempestivamente quando un sistema sta per essere compromesso. 
4. Raccogliere informazioni sugli aggressori e sui loro metodi.
5. Raccogliere prove forensi e legali senza mettere a rischio la rete.

Dovete assicurarvi che le vostre honeypots non contengano informazioni critiche e utilizzare strumenti di gestione della sicurezza che vi permettano di conoscere l'attaccante, i suoi strumenti, le sue tattiche e le sue procedure.

Alcune delle opzioni vulnerabili che qualsiasi intruso cercherebbe per introdursi nel sistema sono:

1. Una password debole che un intruso può facilmente indovinare per entrare nel sistema.
2. La maggior parte degli intrusi punterebbe al sistema di fatturazione dell'azienda per trovare i numeri delle carte di credito dei clienti.
3. Avere porte aperte facili da individuare quando un intruso esegue una scansione delle porte.

Tipi di Honeypots

Esistono diversi tipi di honeypots per vari tipi di minacce. È possibile utilizzare queste honeypots nella propria rete per evitare che i sistemi vengano compromessi. Vediamo nel dettaglio ognuno di questi tipi.

Trappole per le e-mail

È possibile impostare trappole per e-mail, o trappole per spam, in un luogo nascosto che può essere trovato solo dai raccoglitori automatici di indirizzi. I raccoglitori automatici di indirizzi cercano su Internet gli indirizzi e-mail per inviare e-mail di massa o spam.

Per prevenire le e-mail di spam nella rete, è possibile impostare un indirizzo e-mail falso che funga da trappola e-mail. Questi indirizzi e-mail non hanno uno scopo specifico se non quello di essere utilizzati come trappola e-mail o trappola spam. Qualsiasi messaggio che arriva alla trappola e-mail è molto probabilmente spam.

È possibile ottenere la fonte dell'attaccante che invia messaggi di spam nell'intestazione HTTP e bloccarli semplicemente includendo gli indirizzi IP del mittente nella denylist.

Database delle esche

I database possono essere facilmente compromessi e i dati possono essere rubati tramite SQL injection.

Il database decoy utilizza la tecnologia dell'inganno. Il vantaggio di avere un database decoy è che protegge i database da minacce sconosciute. Un utente malintenzionato supera la linea di difesa e ottiene l'accesso ad alcuni dei dati presenti nel database, ma si troverebbe in mano qualcosa che non è importante per l'utente.

Honeypot di malware

Un honeypot malware imita un programma software per attirare un attacco malware. Dopo l'attacco, i professionisti della sicurezza informatica possono utilizzare i dati per analizzare il tipo di attacco e chiudere le vulnerabilità o creare software anti-malware.

Ad esempio, gli ingegneri software sviluppano un honeypot USB Ghost per emulare un dispositivo di archiviazione USB. Se il sistema viene attaccato da un malware che infetta le unità USB, l'honeypot induce il malware ad attaccare il sistema emulato.

Vaso di miele per ragni

Gli ingegneri software progettano spider honeypots per intrappolare i web crawler o spider. Crea pagine web e link accessibili solo ai crawler automatici. Lo spider honeypot identifica questi spider come bot dannosi e i crawler delle reti pubblicitarie che attaccano il vostro sistema.

I bot maligni sono interessati a strisciare la vostra pagina web per raccogliere i backlink, mentre il crawler della rete pubblicitaria visita il vostro sito per determinarne il contenuto e fornire annunci pertinenti.

Honeypot a bassa o alta interazione

Le honeypots a bassa interazione utilizzano meno risorse e raccolgono informazioni di base sul tipo di minaccia e sulla sua fonte, e non possono respingere gli aggressori abbastanza a lungo da raccogliere informazioni vitali come il loro comportamento e la loro complessità.

Al contrario, le honeypots ad alta interazione attirano l'attaccante a rimanere più a lungo fornendogli informazioni. Più a lungo l'attaccante rimane nella rete, più è facile conoscere le sue intenzioni e i suoi obiettivi. Queste honeypots ad alta interazione hanno caratteristiche attraenti come database, sistemi e procedure che possono impegnare un attaccante per un periodo prolungato.

Sia le honeypots ad alta interazione che quelle a bassa interazione sono utili per la sicurezza informatica. È meglio utilizzare una combinazione di entrambi i tipi di honeypot. Una honeypot a bassa interazione è la migliore per apprendere informazioni sul tipo di attacco, mentre le honeypot ad alta interazione forniscono dettagli sulle intenzioni dell'intruso e sul suo metodo di comunicazione.

I vantaggi dell'utilizzo delle Honeypots

Le Honeypots sono sistemi esca, quindi non ricevono alcun traffico. Se lo ricevono, significa che proviene da un intruso. Quando individuano un'intrusione, è possibile cercare l'indirizzo IP per conoscere il Paese da cui proviene e bloccarlo se si tratta di spam.   

Le honeypot sono risorse leggere perché gestiscono un traffico limitato.

Poiché non richiedono una versione superiore dell'hardware, qualsiasi computer a bassa configurazione può essere predisposto per l'esecuzione dell'applicazione honeypot.

È possibile utilizzare le trappole per vasi da miele su misura disponibili online e l'implementazione di una di esse eliminerebbe gli sforzi interni o l'assunzione di professionisti.

Le informazioni fornite dalle honeypots rivelano l'evoluzione delle minacce perché forniscono dettagli su vettori di attacco, exploit e malware.

Gli hacker cambiano ogni volta la loro modalità di intrusione e un cyber honeypot individua le nuove minacce e intrusioni. Le honeypot sono strumenti di buona pratica per gli sviluppatori di regole di sicurezza informatica. Utilizzando un honeypot, è possibile prestare maggiore attenzione al monitoraggio delle minacce piuttosto che al monitoraggio del traffico regolare.

Una minaccia non è sempre un estraneo o un intruso. Un intruso può aver superato il firewall o un dipendente può rappresentare una minaccia rivelando o rubando informazioni riservate. In tal caso, un firewall non sarebbe in grado di rilevare tali minacce.

Ma una trappola honey pot può raccogliere informazioni su tali vulnerabilità poste dall'insider. 

Il risultato finale è che se rendete la honeypot più allettante per l'hacker, questo passerà più tempo a lavorarci e sprecherà il suo tempo invece di causare danni ai vostri sistemi.

Pensieri conclusivi

In questo post abbiamo visto cos'è una honeypot e come funziona per proteggervi dagli hacker. Le honeypot espongono le vulnerabilità del sistema, che possono essere benigne o dannose, ma è necessario disporre di una soluzione di cybersecurity completa per affrontare questi problemi e aiutarvi a raccogliere informazioni per costruire la soluzione appropriata.

Il costo di mantenimento di un honeypot può essere elevato, poiché richiede competenze specialistiche e un team di professionisti della cybersecurity. È necessario implementare e amministrare un sistema che sembra per esporre le risorse di un'organizzazione. Tuttavia, impedire agli aggressori di accedere ai sistemi di produzione è della massima importanza.