Impiego degli honeypot nella sicurezza informatica

Impiego degli honeypot nella sicurezza informatica

Vediamo ora l’impiego degli honeypot e di conseguenza il valore che tali sistemi possono aggiungere alle tre aree della sicurezza informtica:  prevenzione, rilevamento e reazione.

Prevenzione

In quest’area il valore aggiunto é abbastanza limitato, perché la vera prevenzione si ottiene applicando una adeguata policy di sicurezza e cioè disabilitando i servizi inutilizzati, installando tutte le patch di aggiornamento e adottando meccanismi di autenticazione più robusti.

Un possibile utilizzo preventivo è come deterrente verso gli attacchi, pubblicizzandone l’impiego all’interno della rete con lo scopo di far perdere tempo e risorse nel cercare di bucarlo, distogliendo l’attenzione dai sistemi reali. Questo si ottiene attraverso una configurazione adeguata in grado di ingannare i potenziali nemici. Naturalmente questa misura di carattere psicologico (si spera che l’attacker desista dal suo intento sapendo di poter essere individuato) non funziona con attacchi automatici e worm, ma anche con nemici molto preparati e determinati.

Rilevazione

In questa area si ottengono i maggiori vantaggi, in quanto abbiamo già visto nell’articolo dei Vantaggi e svantaggi dei sistemi honeypot, che i sistemi di produzione devono fornire servizi a molti utenti generando una grande mole di traffico e log di dimensioni ragguardevoli. Gli honeypot non soffrono di questi problemi perché tutto il traffico che li riguarda può essere considerato ostile e ciò aiuta nella rilevazione di attacchi sconosciuti che potrebbero sfuggire ai comuni IDS in quanto non ancora codificati.

Reazione

Anche in questo caso il vantaggio è rilevante e sempre legato alla ridotta  quantità di dati da gestire rispetto ad un sistema di produzione. Quando quest’ultimo viene compromesso occorre metterlo offline, rischiando il blocco delle attività. Spesso è difficile isolare le tracce di una compromissione perché inquinate dal traffico di produzione e ciò può rallentare significativamente il riconoscimento di un attacco. Gli honeypot, invece, possono essere disattivati anche immediatamente, esaminati senza interrompere la continuità del servizio e opportunamente programmati per rispondere in maniera attiva a determinati attacchi. Possono fungere da bersaglio e rallentare la diffusione di azioni malevole, consentendo la predisposizione di  un’opportuna procedura difensiva.

Precedente Vantaggi e svantaggi dei sistemi honeypot Successivo Limitare i rischi attraverso l'utilizzo dei sistemi honeypot

Lascia un commento

*