Classificazione dei sistemi honeypot

Classificazione dei sistemi honeypot

I sistemi honeypot possono avere molteplici impieghi, ma comunemente si considerano due principali categorie:

  1. sistemi di produzione: utilizzati nelle reti aziendali per incrementare il livello di sicurezza informatica;
  2. sistemi di ricerca: impiegati per acquisire informazioni sulla comunità dei pirati informatici e scoprire eventuali vulnerabilità ignote, nuove tecniche di attacco e di conseguenza per mettere a punto nuovi meccanismi difensivi.

Sistemi di produzione

I sistemi di produzione sono utilizzati fondamentalmente per la rilevazione di attacchi diretti alla rete interna, possono essere considerati un’estensione degli IDS (Intrusion Detection System) in grado di verificare l’adeguatezza delle protezioni adottate, in quanto in caso di compromissione si può dedurre che sono stati elusi gli altri meccanismi di sicurezza (es. firewall). La consapevolezza di un attacco, ottenuta in questo modo, può consentire la risoluzione del problema, evidenziando addirittura la presenza di falle di sicurezza del tutto ignote. Allo stesso modo può giustificare ulteriori investimenti in sicurezza che altrimenti, in assenza di attacchi documentati, potrebbero essere ridotti o azzerati nella falsa convinzione di essere completamente al sicuro. Attraverso gli honeypot è possibile mantenere traccia degli attacchi e quindi fare delle statistiche circa la loro tipologia, frequenza ed eventualmente individuare nuove minacce che potrebbero sfuggire ad altri strumenti. Gli IDS ad esempio si appoggiano ad un database di firme (signature) delle varie tipologie di attacco che deve essere costantemente aggiornato.

Sistemi di ricerca

I sistemi di ricerca rappresentano una piattaforma molto utile per lo studio dei pericoli informatici in quanto consentono di vedere gli aggressori in azione mentre attaccano e si impadroniscono di un sistema, e nel contempo di valutare strategie e strumenti  utilizzati. In generale non consentono la riduzione dei rischi, ma indirettamente le informazioni acquisite possono incrementare il livello di sicurezza. Nella maggior parte dei casi si tratta di sistemi gestiti da università, enti governativi e organizzazioni non-profit con finalità di ricerca (vedi The Honeynet Project).

 

Precedente Definizione di honeypot in informatica Successivo Livelli di interazione offerti dai sistemi honeypot

Lascia un commento

*