Limitare i rischi attraverso l’utilizzo dei sistemi honeypot
Qualunque sia la tipologia di honeypot adottata viene comunque introdotto un certo livello di rischio che è auspicabile ridurre al massimo. In primo luogo occorre analizzare a fondo le proprie esigenze per scegliere il livello di interazione più idoneo. Spesso non è necessario ricorrere ad un sistema ad alta interazione, ad esempio se si vogliono semplicemente registrare i tentativi di scansione della propria rete aziendale, limitandosi all’uso di un honeypot a medio-basso livello. La superiorità dei sistemi ad alta interazione risiede nel maggior numero di funzionalità offerte, sebbene occorra stare molto attenti e quindi è più logico ricorrere ad una honeynet adeguatamente equipaggiata. In secondo luogo ogni segnale di allarme dovrebbe essere inviato ad un responsabile in grado di adottare tempestivamente le opportune contromisure. Inoltre è indispensabile la presenza di una funzione di shutdown da utilizzare come extrema ratio per bloccare qualsiasi attività dannosa – soprattutto attacchi verso l’esterno – qualora sia sfuggita ad ogni altro controllo.
Tutti gli accorgimenti devono essere orientati alla riduzione dei rischi sebbene siano richiesti investimenti, tempo e competenze specifiche. D’altro canto produrre danni verso terzi a causa di una leggerezza nella configurazione dei propri sistemi può costare molto caro.