Cosa sono gli honeypot? Sono sistemi informatici configurati per simulare sistemi leciti ma vulnerabili. Sono particolarmente utili per analizzare:
- Nuovi tipi di minacce: identificare precocemente nuove tecniche e nuovi vettori d’attacco consente di studiare contromisure efficaci prima che questi vengano utilizzati per attaccare sistemi reali.
- Distrarre: consentono di deviare l’attenzione di un criminale dai sistemi reali che – in caso di attacco – potrebbero comportare un rischio più elevato per la struttura.
- Raccogliere informazioni: consentono di raccogliere informazioni sui criminali e, potenzialmente, aiutare nella loro identificazione
Dovresti installarne uno nella tua struttura? La risposta è… dipende. Il valore aggiunto che può portare dipende da vari fattori di cui è necessario ricordare almeno i seguenti:
- Risorse a disposizione: gli honeypot vanno monitorati per identificare i comportamenti malevoli e bloccarli.
- Struttura pre-esistente: se la rete è “piatta” e non presenta segregazione probabilmente converrebbe agire prima su altri fattori critici e implementare una struttura che consenta di arginare, di default, i tentativi di movimento laterale.
- Budget economico: per quanto si tratti di sistemi tendenzialmente poco impattanti dal punto di vista economico, non si può dire lo stesso dal punto di vista del monitoraggio (il che ci riporta al punto 1).
Se, tuttavia, la tua struttura ha a disposizione personale specializzato ed è già configurata correttamente, può essere utile scegliere quali punti siano maggiormente critici e dove andare ad installarne uno (o più di uno). Tuttavia, nella configurazione degli honeypot è necessario prestare attenzione a non lasciare evidenti tracce che consentano ad un criminale d’identificare – magari anche agilmente tramite una banale analisi degli header del server indicizzati – ed evitare il sistema.