Livelli di interazione offerti dai sistemi honeypot

Livelli di interazione offerti dai sistemi honeypot

Il livello di interazione offerto dai sistemi honeypot determina le modalità con cui un aggressore può accedere al sistema e di conseguenza la libertà di azione che gli è consentita, influenzando in maniera diretta la complessità e il rischio connessi alle attività di realizzazione, configurazione e gestione. In generale maggiore è il livello di interazione maggiore sarà la probabilità di compromissione e di impiego del sistema per sferrare attacchi verso altri obiettivi. Tuttavia solo questi sistemi risultano veramente efficaci nel campo della ricerca.

Livello basso

Gli honeypot di questo tipo si limitano ad emulare alcuni servizi di rete non consentendo alcuna azione diretta per cui il loro impiego è riservato al rilevamento delle intrusioni nei sistemi reali. Per le sue caratteristiche si presenta come una soluzione a basso rischio per l’ambiente in cui è installata, ma anche facilmente identificabile, ad esempio per la mancanza di traffico in uscita.

Livello medio

In questa categoria rientrano gli honeypot che utilizzano, al posto dei reali servizi di rete, script o programmi che ne emulano il comportamento, cercando di essere il più possibile realistici. La principale differenza con quelli del primo tipo risiede nella capacità di generare del traffico in uscita, permettendo un’interazione limitata con il sistema.

Livello alto

Si tratta dei sistemi honeypot più potenti e complessi in grado di consentire all’aggressore l’accesso al sistema operativo, lasciandolo libero di agire e monitorando le sue attività. Il loro impiego principale è nei sistemi di ricerca, ma possono essere utilizzati anche in quelli di produzione con opportune precauzioni. La disponibilità di un ambiente operativo completo implica un livello di rischio molto elevato, permettendo ad un attacker di compromettere tale piattaforma e utilizzarla per sferrare attacchi verso altri sistemi o saturare la rete con una elevata produzione di traffico.

Confronto tra i vari livelli

Un confronto tra le diverse soluzioni proposte deve tener conto di vari aspetti come installazione, fingerprinting, valore dei dati, manutenzione e rischi.

La difficoltà di installazione può essere valutata considerando il tempo e le competenze richieste. In genere i sistemi a bassa interazione implicano maggiore semplicità. Per individuare un honeypot bisogna evidenziare le differenze tra tale sistema e quello reale. Anche in questo caso gli honeypot a bassa/media interazione sono più semplici da scoprire per le difficoltà evidenti di emulazione di servizi e applicazioni. L’utilità di un honeypot si misura in base al valore dei dati acquisiti e certamente i sistemi ad alta interazione offrono spunti più interessanti permettendo la creazione di ambienti molto realistici. I sistemi a bassa/media interazione non richiedono grossi interventi manutentivi poiché i servizi sono semplicemente emulati, a differenza degli honeypot  ad alta interazione che si basano su un effettivo ambiente operativo.

Infine sul fronte dei rischi dobbiamo considerare che questi aumentano proporzionalmente al livello di interazione.

Nella seguente tabella si mostra il Confronto tra i diversi livelli di interazione per i sistemi honeypot.

  BASSA/MEDIA ALTA
INTERAZIONE
INSTALLAZIONE Semplice Maggiore complessità
MANUTENZIONE Semplice Richiede tempo
RISCHIO Basso Alto
NECESSITA’ DI MONITORAGGIO No Si
RACCOLTA DATI Limitata Ampia
INTERAZIONE Emulazione servizi

Ambiente completo

Precedente Classificazione dei sistemi honeypot Successivo Posizionamento degli honeypot all'interno della rete

Lascia un commento

*