Vantaggi e svantaggi dei sistemi honeypot

Vantaggi e svantaggi dei sistemi honeypot

Come per tutte le tecnologie informatiche vi sono vantaggi e svantaggi che occorre valutare attentamente affinché i sistemi honeypot abbiano efficacia.

Vantaggi sistemi honeypot

Gli honeypot sono diversi dai comuni tool di sicurezza che risolvono specifici problemi come, ad esempio, i firewall che vigilano sul perimetro di una rete monitorando le connessioni in ingresso e uscita e gestendo attraverso opportune regole  il traffico in transito, oppure gli IDS (Intrusion Detection System) che rilevano gli attacchi esaminando in dettaglio i pacchetti trasferiti attraverso la rete.

Al contrario gli honeypot non forniscono servizi di produzione e rappresentano uno strumento altamente flessibile e adattabile a molteplici situazioni. In questo senso non vanno considerati come un surrogato dei classici sistemi difensivi bensì come un loro complemento. Spesso si fa confusione proprio con gli IDS che al contrario degli honeypot ispezionano tutto il traffico di rete confrontando i dati con un database di “attack signature” (una sorta di DNA degli attacchi). Quando viene trovata una corrispondenza l’IDS lancia un allarme. Questa metodologia non sempre funziona bene e spesso si generano dei falsi positivi, ovvero un’attività lecita viene erroneamente scambiata per un attacco. Troppi falsi positivi in aggiunta alle dimensioni ragguardevoli dei file di log di sistema e di quelli generati dai firewall rendono estremamente difficoltoso estrapolare dati di un qualche valore per gli addetti alla sicurezza.

Uno dei principali vantaggi degli honeypot è la raccolta di una piccola quantità di dati relativi  a  interazioni  con  il  sistema.  Non  fornendo servizi di produzione, tutte le connessioni sono in teoria non autorizzate e i dati raccolti il risultato di una scansione o di un attacco. In particolare le connessioni in uscita sono il sintomo inequivocabile della compromissione dell’honeypot. Anche il numero di falsi positivi è limitato proprio perché è minore il traffico prodotto. Inoltre un comune IDS può riconoscere  solo attacchi già noti e codificati nel database delle signature (in maniera simile a quanto accade per gli antivirus); in tutti gli altri casi si osserva il fenomeno dei falsi negativi, ossia attacchi che sfuggono al riconoscimento.

Gli honeypot al contrario possono servire per la rilevazione di qualsiasi tipo di attacco, inclusi quelli sconosciuti. Inoltre i meccanismi di sicurezza tradizionali devono esaminare tutti i pacchetti che attraversano la rete e in realtà di grandi dimensioni ciò si traduce in un’enorme mole di dati con l’impiego di ingenti risorse. Un honeypot deve catturare solo il traffico ad esso diretto, quindi necessita di una configurazione hardware minima ed ha un costo di implementazione molto basso. Oltretutto è possibile realizzare degli honeypot virtuali, cioè una serie di sistemi che girano su una stessa macchina attraverso l’impiego di software di virtualizzazione (come ad esempio VMware, UML) oppure di scripts che simulano una rete di computer (come ad esempio gli Honeyd).

Infine occorre osservare che esistono molte soluzioni open source con tutti i vantaggi che ne derivano e a cui lavora una vasta comunità di ricercatori ed esperti in grado di offrire supporto nelle varie fasi di progettazione, configurazione e gestione.

Svantaggi sistemi honeypot

Il principale svantaggio di un honeypot è rappresentato dal suo “campo visivo ristretto“. In pratica é in grado di accorgersi esclusivamente degli eventi che lo interessano, perché a differenza di altri dispositivi passivi non può catturare le attività relative ad altri sistemi. Spitzner parla di “effetto microscopio“, cioè della capacità di ingrandire e mettere a fuoco gli eventi che avvengono al suo interno e ciò va  considerato positivamente, sebbene in alcuni casi possa rappresentare un problema. Ipotizziamo due diverse situazioni: nella prima l’aggressore cerca di individuare il potenziale obiettivo adottando le classiche tecniche di scansione della rete. Tale azione viene rilevata dall’honeypot inducendo i responsabili della sicurezza alla verifica degli altri sistemi di produzione che presumibilmente sono stati oggetto del medesimo  attacco. In questo caso l’honeypot si dimostra molto valido.

Viceversa ammettiamo che l’aggressore conosca la tipologia della rete e sferri un attacco diretto verso uno specifico obiettivo conoscendone l’IP e quindi senza ricorrere alla scansione della rete. In questa situazione l’honeypot è di fatto tagliato fuori e non aiuta nella rilevazione dell’attacco. In secondo luogo occorre considerare l’entità del rischio introdotto nella sicurezza di rete, che risulta strettamente legato al livello di interazione offerto.

Infine, bisogna osservare che per risultare veramente efficace un honeypot deve nascondere la propria identità, perché in caso contrario può spingere l’aggressore a trascurarlo per orientarsi verso altri obiettivi impedendo la rilevazione di eventuali attacchi.

Confronto tra vantaggi e svantaggi degli honeypot

Nella tabella seguente riassumiamo i vantaggi e gli svantaggi degli honeypot.

VANTAGGI SVANTAGGI
Limitata quantità di dati da esaminare Campo visivo ristretto
Pochi falsi positivi e negativi Rischio legato al livello di interazione
Configurazione hardware minima Fingerprinting
Costi di implementazione ridotti

Precedente Posizionamento degli honeypot all'interno della rete Successivo Impiego degli honeypot nella sicurezza informatica

Lascia un commento

*