Perché gli honeypot non vengono distribuiti su larga scala?

Gli honeypot sono "Sicurezza per oscurità" quando vengono impiegati per catturare gli addetti ai lavori. Una volta noto che cos'è l'honeypot, non è più efficace.

D'altra parte, gli honeypot impiegati per catturare utenti esterni che hanno ottenuto l'accesso privilegiato possono essere molto utili (li uso sempre). In questo caso, è possibile rendere nota l'esistenza dell'honeypot agli utenti interni in modo che qualsiasi attività sull'honeypot sia sospetta.

Le questioni legali spaventano le persone (leggi il link di HexTitan), gli honeypot possono generare un gran numero di falsi positivi (rendendoli potenzialmente costosi da gestire), e devono essere attentamente progettati in modo da non diventare una risorsa dell'attaccante.

Tutti questi problemi combinati sono emersi quando suggerisco di utilizzare honeypot nelle mie organizzazioni. Ho contrastato con successo gli argomenti, ma la resistenza è sempre stata enorme.

In breve: il termine "honeypot" è un termine generico, e la confusione e l'ambiguità come risultato della vaghezza hanno come risultato la resistenza da parte del management a usare honeypot, in generale.

Ci sono legalità di honeypot che devono essere considerati. Qui è un articolo molto più vecchio, ma fornisce alcune informazioni. In generale, da quello che ho visto, l'industria si è allontanata dagli honeypot.

Per uno, la loro efficacia non è stata stabilita su una scala abbastanza grande da essere utile alle aziende. In secondo luogo, gli aspetti legali hanno reso difficile la gestione. Ad esempio, Super DMCA ha impedito a LaBrea Tarpit di diventare ampiamente adottato.

Ciò non significa che gli honeypot non abbiano il loro posto o non possano essere efficaci, ma il loro uso deve essere valutato con il problema da risolvere e le leggi nel contesto in cui vengono eseguite.