Un honeypot è un servizio o un computer singolo all’interno di una rete che viene configurato per agire come esca, attirando e intrappolando eventuali aggressori. D’altra parte, una honeynet è costituita da una serie di honeypot che vengono utilizzati per attirare gli aggressori e studiare le loro attività su una pluralità di honeypot. Entrambi, possono essere impiegati per rilevare attacchi e raccogliere dati.
Cos’è una honeynet?
Le honeynet rappresentano un eccellente strumento per analizzare il comportamento degli hacker. Sono costituite da reti esca, contenenti due o più honeypot, i quali appaiono e si comportano come sistemi o servizi di rete reali, in modo da attirare i potenziali intrusi e sorprenderli nel proprio agire.
Come funziona una honeynet?
La rete honeynet funziona attirando i potenziali aggressori mediante l’esposizione di dati preziosi o l’accesso a un sistema. Una volta che l’utente malintenzionato si trova sulla honeynet, uno o più honeypot vengono utilizzati per monitorare e acquisire dati sull’attacco. Tali informazioni possono poi essere sfruttate per migliorare la sicurezza dei sistemi reali e prevenire futuri attacchi.
L’obiettivo di questa rete consiste nel raccogliere informazioni sull’attaccante e distrarlo dalla vera rete tramite dati falsi, o “miele”, oltre a far perdere tempo ai potenziali aggressori.
Attraverso la creazione di un segmento di rete dedicato, i sistemi legittimi e quelli di produzione vengono isolati dalla rete esca. Grazie a questa configurazione, è possibile distribuire honeypot a bassa e alta interazione su più macchine honeypot Linux, come t-pot, per monitorare gli hacker su un numero maggiore di sistemi.
Ricreando una rete di produzione “esca”, gli esperti di sicurezza e i team di threat intelligence sono in grado di raccogliere dati sull’attività di rete dei loro avversari, fornendo loro un obiettivo attraente. La Honeynet può includere vulnerabilità note, una varietà di sistemi operativi, server e molto altro. Inoltre, avendo più istanze di honeypot, gli aggressori possono progredire attraverso il segmento di rete e lasciare tracce utili, come tattiche, tecniche e procedure (TTP), indicatori di compromissione (IoC) e indicatori di attacco (IoA).
La raccolta di questi dati consente di migliorare la sicurezza della rete e dei sistemi informatici, mitigando i rischi e proteggendo meglio l’organizzazione.
Rispetto alla semplice costruzione di perimetri intorno alla rete, con un firewall e un sistema di rilevamento delle intrusioni, le honeynet offrono una protezione aggiuntiva, in quanto ciascun honeypot è in grado di raccogliere traffico di rete, indirizzi IP, exploit zero-day e altre informazioni utili per migliorare la sicurezza della rete
Gli aspetti negativi
Gli honeypot e le honeynet possono fornire informazioni di sicurezza preziose, ma creare la propria rete esca comporta dei rischi. Innanzitutto, attirano un maggior numero di attacchi, mettendo a rischio i sistemi. È importante tenere traccia delle librerie utilizzate e fare revisioni del codice per garantire la sicurezza. In secondo luogo, se non configurati correttamente, possono essere sfruttati dagli aggressori, fornendo loro una backdoor nella rete. Inoltre, la creazione e la manutenzione di honeypot e honeynet richiedono tempo e denaro. Tuttavia, esistono honeypot gratuiti e open source che possono ridurre il rischio di vulnerabilità di sicurezza. Inoltre, questi progetti di pubblico dominio possono essere facilmente monitorati dalla comunità di sviluppatori, che può rapidamente risolvere eventuali problemi di sicurezza che emergono.
Differenza tra honeynet e deception
Il mondo della sicurezza informatica utilizza spesso in modo intercambiabile i termini honeypot e deception. Tuttavia, c’è una differenza importante tra i due concetti. L’honeypot è un sistema creato appositamente per attrarre potenziali aggressori, mentre la deception (inganno) è una tecnica che utilizza informazioni, sistemi e servizi falsi per fuorviare o intrappolare un utente malintenzionato. In entrambi i casi, l’obiettivo è quello di ottenere informazioni sulle intenzioni e i metodi degli aggressori. Tuttavia, l’inganno è considerato una difesa attiva e utilizza una serie di tecniche, tra cui l’honeypot, per rivelare le intenzioni e le capacità degli avversari informatici sia nella rete di produzione che in quella esca.
Honeypot e honeynet sono generalmente considerati più passivi e utilizzati per studiare gli avversari. Le tecniche di inganno vengono invece adattate alle reti in cui vengono implementate. L’utilizzo di esche ingannevoli all’interno e all’esterno della rete fornisce un quadro accurato delle intenzioni degli aggressori, sia che stiano cercando di raccogliere informazioni o di diffondere attività dannose. Di conseguenza, l’inganno può essere un modo più efficace per identificare e fermare gli attacchi. È importante tenere presente che la creazione di honeypot o l’utilizzo di tecniche di inganno comporta alcuni rischi, tra cui l’aumento del rischio per i sistemi e la necessità di una revisione costante del codice utilizzato.
I vantaggi degli honeypot
L’utilizzo di honeypot presenta numerosi vantaggi, tra cui:
- La possibilità di individuare attacchi che potrebbero altrimenti sfuggire alla rilevazione
- La possibilità di raccogliere dati sugli attacchi e sugli aggressori, migliorando gli indicatori di attacco (IoA) e gli indicatori di compromissione (IoC)
- La possibilità di analizzare il comportamento degli aggressori per capire le loro tecniche e motivazioni
- La capacità di distrarre e confondere gli aggressori, impedendo loro di concentrarsi sui sistemi reali e riducendo il rischio di danni ai dati e ai sistemi reali.
Differenze tra honeypot e IDS
Un honeypot è un sistema informatico creato appositamente per attirare attacchi da parte di utenti o sistemi, allo scopo di ottenere informazioni sull’attacco e/o sull’attaccante. Una honeynet è invece una rete di honeypot, solitamente costituita da un sistema più grande e complesso. Al contrario, un IDS (sistema di rilevamento delle intrusioni) monitora il traffico di rete alla ricerca di attività sospette, che potrebbero indicare un tentativo di intrusione. Sebbene honeypot, honeynet e IDS abbiano punti di forza e debolezza differenti, non sono la stessa cosa. La principale differenza è che gli honeypot e le honeynet sono progettati per essere attaccati, mentre i sistemi IDS sono progettati per rilevare gli attacchi tramite il monitoraggio della rete. Ciò significa che gli honeypot possono fornire informazioni più dettagliate sugli attacchi, ma comportano anche un maggiore rischio di essere violati.
In generale, sia gli honeypot che le honeynet sono strumenti utili per rilevare e studiare gli attacchi informatici. Tuttavia, c’è una differenza significativa tra i due: gli honeypot sono computer singoli che appaiono come sistemi reali, mentre le honeynet sono reti di honeypot. L’utilizzo di honeypot può richiedere un lavoro di configurazione e manutenzione, ma può fornire informazioni dettagliate sugli attacchi.
