La distribuzione di un honeypot non è dissimile dall'aggiunta di una porta dipinta o di una cassastrong finta a un caveau di una banca.
Non deter nessuno (il suo scopo è not di essere rilevato come honeypot). Forse qualcuno ha errato rilevare .
Può ridurre (in qualche modo) il tempo trascorso dagli aggressori contro la porta reale. Non di molto.
Inoltre, può essere ottimizzato per la raccolta dei dati (semplicisticamente, sai che nessuno utilizzerà mai i servizi sull'honeypot, quindi puoi sintonizzarli tutti su "registra tutto il dump di dump di dump paranoico ad alto volume". < em> L'efficienza del servizio va all'inferno, ma non appena qualcuno tenta qualcosa, non devi indovinare nulla. La "cassastrong" è tutti gli allarmi e non i lingotti.
Ancora di più, puoi correlare ciò che sta accadendo all'honeypot con ciò che accade nel resto della rete. L'honeypot ti dirà cosa c'è dietro ciò che le altre macchine segnalano come "rumore" insolito ma casuale.
Infine, honeypot può apparentemente consentire a un attacco di avere successo, in modo da poter raccogliere ancora più dati. Esempio: l'attaccante vince una shell di root sull'honeypot. Procede a scaricare strumenti più sofisticati. Ora hai almeno una copia di questi strumenti e un'idea di dove li ha scaricati.
(Se hai tempo puoi bloccare la connessione in un modo non troppo sospetto e lasciarlo ricollegare in seguito dopo aver aggiunto una strumentazione adeguata ai suoi strumenti, che ora non sono più).
Puoi determinare se è solo un bambino di sceneggiatura alla ricerca di qualche rimbalzo di warez, o qualcuno che ha mirato attivamente alla tua rete. Anche evitando l'honeypot ti dirà qualcosa che vale la pena conoscere.
Ma praticamente nulla di quanto sopra è gratis ; né funzionerà da solo. Hai bisogno di qualcuno che gestisca continuamente (normalmente a un livello molto basso, ma continuamente e sempre pronto ad aumentare) l'honeypot. L'honeypot deve essere mantenuto e aggiornato, allo stesso modo (forse molto più ) rispetto alle altre caselle.
Devi decidere se il guadagno vale il dolore e se puoi investire nel dolore necessario.
Solo "aggiungere un honeypot" farà nulla per aumentare la sicurezza della rete; al contrario, genererà un po 'di falsa sicurezza e probabilmente fornirà una violazione della sicurezza se l'honeypot non è ben isolato e blindato come credevate; potrebbe anche attirare più attenzione che se non fosse lì, se offre servizi o vulnerabilità che le altre macchine non condividono.