Honeypot

Un honeypot è una strategia di sicurezza informatica progettata per individuare, deviare o ingannare potenziali criminali informatici.

Cos’è un honeypot?

Con l’utilizzo di software o attraverso azioni umane, un honeypot ha lo scopo di indurre un cybercriminale a pensare che un’azienda abbia punti di ingresso non adeguatamente protetti nei suoi sistemi.

 

Come funziona?

Come misura preventiva, un’azienda installa una serie di server o sistemi che sembrano essere vulnerabili. L’azienda dà l’impressione di non preoccuparsi di alcuni aspetti legati alla sicurezza. Una volta tesa la trappola, l’obiettivo è quello di attirare gli aggressori.

Il cybercriminale non si rende conto che quello che sembra un punto di ingresso vulnerabile è in realtà una trappola che viene attentamente monitorata dall’azienda in questione.

Le aziende possono trarne vantaggio in tre modi: in primo luogo, contenendo gli attacchi veramente pericolosi; in secondo luogo, facendo perdere tempo agli aggressori e, infine, analizzando i loro movimenti per individuare nuove potenziali forme di attacco che vengono utilizzate nel loro settore.

 

Misure di controllo

Un honeypot è simile al controspionaggio nella sicurezza informatica: utilizzando esche che appaiono vulnerabili, si riesce ad attirare gli aggressori e a contrastare i loro attacchi, e nel frattempo si analizzano e si monitorano tutte le loro azioni.

Si tratta di una strategia potenzialmente utile, soprattutto per le grandi aziende che spesso hanno molti dati riservati e che, a causa del loro volume d’affari, sono un bersaglio appetibile per gli aggressori.

 

Honeypot malware

Gli honeypot malware vengono utilizzate per rilevare il malware, sfruttando i noti vettori di propagazione e di attacco del malware. I vettori di propagazione, come le unità USB, possono essere facilmente controllati verificando la presenza di modifiche, sia manualmente sia utilizzando speciali honeypot che simulano queste unità.

Il malware viene utilizzato sempre più spesso per eseguire il mining delle criptovalute: ciò crea opportunità per servizi come Bitcoin Vigil, che crea e monitora gli honeypot dietro il pagamento di una piccola somma di denaro, così da dar vita a un sistema di incentivi, in grado di fornire avvisi tempestivi in caso di infezioni da malware.

 

Honeynet

Vi sono modi per affinare ulteriormente il processo: se l’honeypot non viene creato su reti non produttive, ma su applicazioni e sistemi reali, allora si parla di un altro concetto, ossia di honeynet, che inganna ulteriormente i cybercriminali, facendo loro credere di stare effettivamente attaccando un vero sistema informatico.

Una honeynet è una rete di honeypot interagenti che simula una rete reale ed è configurata per monitorare e registrare in segreto tutti i dati. Di norma, una honeynet è utilizzata per monitorare reti grandi o diversificate, dove un singolo honeypot non sarebbe sufficiente.

Le combinazioni di honeynet e honeypot sono spesso utilizzate come parte di un più ampio sistema di rilevamento delle intrusioni di rete. Le honeynet offrono una raccolta centralizzata di honeypot e di strumenti di analisi.