Un honeypot è un deterrente efficace per gli hacker che compromettono con successo la tua rete?

La distribuzione di un honeypot non è dissimile dall'aggiunta di una porta dipinta o di una cassastrong finta a un caveau di una banca.

Non deter nessuno (il suo scopo è not di essere rilevato come honeypot). Forse qualcuno ha errato rilevare .

Può ridurre (in qualche modo) il tempo trascorso dagli aggressori contro la porta reale. Non di molto.

Inoltre, può essere ottimizzato per la raccolta dei dati (semplicisticamente, sai che nessuno utilizzerà mai i servizi sull'honeypot, quindi puoi sintonizzarli tutti su "registra tutto il dump di dump di dump paranoico ad alto volume". < em> L'efficienza del servizio va all'inferno, ma non appena qualcuno tenta qualcosa, non devi indovinare nulla. La "cassastrong" è tutti gli allarmi e non i lingotti.

Ancora di più, puoi correlare ciò che sta accadendo all'honeypot con ciò che accade nel resto della rete. L'honeypot ti dirà cosa c'è dietro ciò che le altre macchine segnalano come "rumore" insolito ma casuale.

Infine, honeypot può apparentemente consentire a un attacco di avere successo, in modo da poter raccogliere ancora più dati. Esempio: l'attaccante vince una shell di root sull'honeypot. Procede a scaricare strumenti più sofisticati. Ora hai almeno una copia di questi strumenti e un'idea di dove li ha scaricati.

(Se hai tempo puoi bloccare la connessione in un modo non troppo sospetto e lasciarlo ricollegare in seguito dopo aver aggiunto una strumentazione adeguata ai suoi strumenti, che ora non sono più).

Puoi determinare se è solo un bambino di sceneggiatura alla ricerca di qualche rimbalzo di warez, o qualcuno che ha mirato attivamente alla tua rete. Anche evitando l'honeypot ti dirà qualcosa che vale la pena conoscere.

Ma praticamente nulla di quanto sopra è gratis ; né funzionerà da solo. Hai bisogno di qualcuno che gestisca continuamente (normalmente a un livello molto basso, ma continuamente e sempre pronto ad aumentare) l'honeypot. L'honeypot deve essere mantenuto e aggiornato, allo stesso modo (forse molto più ) rispetto alle altre caselle.

Devi decidere se il guadagno vale il dolore e se puoi investire nel dolore necessario.

Solo "aggiungere un honeypot" farà nulla per aumentare la sicurezza della rete; al contrario, genererà un po 'di falsa sicurezza e probabilmente fornirà una violazione della sicurezza se l'honeypot non è ben isolato e blindato come credevate; potrebbe anche attirare più attenzione che se non fosse lì, se offre servizi o vulnerabilità che le altre macchine non condividono.

Gli honeypot non sono un controllo deterrente, sono un controllo detective. In quanto tali, possono essere molto potenti nelle reti aziendali e di produzione.

Gestisco molti honeypot e forniscono un utile insieme di dati oltre a IDS / IPS. Possono dirmi l'intento di un attacco attivo, la sofisticazione di un attacco e qualsiasi contatto con un honeypot indica un evento serio. A volte vedo ciò che evidentemente le persone "guardano intorno" e altre volte vedo attacchi molto complessi e pianificati. Entrambi devono essere affrontati e so quanto seriamente applicare le risorse per indagare.

Gli honeypot configurati correttamente e sicuri non consentono agli autori di attacchi di ruotare su altre risorse (anche se alcuni possono far credere all'aggressore di essere!).

È anche vero che gli honeypot possono essere usati per la ricerca. Gestisco il mio honeypot per quello scopo. Ma, come controllo detective poco costoso, aggiunge profondità a ciò che di solito si vede solo nei log e nelle tracce di pacchetti.

La domanda mi ha ricordato un articolo di un passato non troppo lontano che mi ha sorpreso con una richiesta simile. Sono stato in grado di trovarlo di nuovo, era " 5 motivi per cui ogni azienda dovrebbe avere un Honeypot " su Lettura oscura a partire da ottobre 2013. Riepilogati, i loro cinque motivi sono:

1. Gli hacker testano i loro strumenti contro il software anti-malware standard, quindi un honeypot come sistema con bassi falsi positivi sarà buono da rilevare attacchi.
2. Gli honeypot possono rallentare gli attaccanti impostando i richiami e distraendoli dagli obiettivi reali.
3. I honeypot di produzione non richiedono molto tempo di investimento (rispetto a ricerca honeypots) a meno che non venga attivato un avviso.
4. Gli Honeypot aiutano a formare il team di sicurezza.
5. Gli honeypot sono poco costosi da configurare, perché ci sono molti strumenti gratuiti.

Non sono davvero d'accordo con tutte le loro ragioni. In effetti l'unico convincente per me è il n. Il numero 2 potrebbe essere valido, ma ha bisogno di una configurazione sofisticata e probabilmente costosa o solo di attaccanti inesperti. Altrimenti, potrebbero essere in grado di guardare dietro le quinte molto presto e cercare le risorse reali (forse anche sfruttando qualche debolezza nel software honeypot stesso).

Sebbene il suo scopo principale sia il rilevamento e la mitigazione, posso vedere come agirà anche come deterrente, se l'attaccante ha il ragionevole sospetto che tu usi honeypot, ma non ha avuto un modo per determinare esattamente dove. Se una macchina specifica è un honeypot dovrebbe essere tenuta segreta, ma ci sono pochi rischi nel rivelare il fatto che alcune delle vostre macchine tra centinaia sono honeypot. Per i governi, le grandi aziende e le piccole imprese sensibili alla sicurezza, si suppone che utilizzino gli honeypot.

Pensaci in questo modo. Tutto il resto è uguale, se tu avessi la scelta tra attaccare un'installazione che probabilmente ha honeypots e una che probabilmente non funziona, quale sceglieresti? Certo, non è un deterrente molto grande, ma che cos'è?

Gli honeypot non sono un meccanismo difensivo. Sono un mezzo che può emulare la tua rete e può aiutarti a identificare potenziali minacce sulla tua rete. La creazione di honeypot nelle reti aziendali può darti un'idea di eventuali attacchi rivolti alla tua azienda. Sulla base dei risultati catturati nel tuo honeypot, puoi rafforzare ulteriormente i tuoi meccanismi di difesa dell'organizzazione.