Come attirare un hacker?

Se sono già nella tua rete, l'aggiunta di un honeypot potrebbe non essere efficace - non sai cosa già sanno della tua rete.

• Conoscono le gamme IP per risorse umane, finanza, sistemi di archiviazione dati, ecc.?
• Hanno accesso al tuo sistema di gestione delle modifiche e individueranno una nuova aggiunta alla rete?
• Hanno già messo in backdoor i server con i dati che vogliono?
• Hanno già le informazioni di cui hanno bisogno?

In questa fase, se i dati sono importanti, potresti trovare più utile modificare l'accesso e rimuoverli dalla rete, piuttosto che cercare di rintracciarli.

In alternativa, se sai dove sono questi dati importanti, non hai bisogno di un honeypot: ciò di cui hai bisogno è di monitorare da vicino tutte le attività e vedere se vengono effettuate connessioni insolite.

Che cosa ha ispirato i tuoi sospetti? Se vedesse qualcosa di strano nei tuoi log di rete, sarebbe un buon punto di partenza.

Generalmente, gli honeypot sono utili prima di un'intrusione, poiché interrompono o rallentano un intruso prima che raggiungano i tuoi dati, offrendoti la possibilità di identificarli o bloccarli.

"Luering" è un'attività che potrebbe richiedere una consulenza legale.

L'impostazione dei trap è semplice, ma potresti voler iniziare o migliorare le procedure di registrazione per aiutare le forze dell'ordine a costruire una buona pista di controllo.

Ho spesso pensato di farlo per la grande quantità di tentativi falliti di accedere al mio server SSH; Non l'ho mai fatto ma potresti fare qualcosa del genere:

• Dopo che la quantità "x" di tentativi di accesso non riusciti da "IP" avvia l'inoltro dei pacchetti di attaccanti al nuovo server (server virtuale;)) e gli dà automaticamente accesso (ad esempio un honeypot).

Non lo faccio perché non serve a nulla; pensano di essere entrati quando in realtà li ho lasciati entrare, e per di più una volta scoperto che è un vaso di miele, hai appena schioccato il nido dei calabroni.