I sistemi "canarini" virtuali sono utilizzati per rilevare programmi maligni?

1

Mi chiedevo se i programmi dannosi vengano rilevati utilizzando un sistema virtuale.

Ad esempio, un sistema "canarino" verrebbe installato in un ambiente virtuale, quindi i programmi sconosciuti e non attendibili verrebbero eseguiti in esso, l'operazione del programma sconosciuto verrebbe esaminata con attenzione per i segni di attività dannose.

L'ambiente virtuale può essere tranquillamente protetto in sabbia per prevenire l'infezione del sistema host? Questo metodo è utilizzato ed è pratico nella pratica? qual è il nome di questo metodo? quali sono alcuni esempi di questo metodo utilizzato?

    
posta kyle k 09.10.2013 - 20:32
fonte

1 risposta

4

Il termine colloquiale è honeypot . Un sistema di honeypot deve essere attraente per l'attaccante, ma diversamente vincolato in modo che non aiuti l'aggressore nei suoi nefandi progetti. Questo è un equilibrio piuttosto delicato. Ad esempio, un honeypot per intrappolare gli spammer deve cercare come se potesse fungere da relay per tonnellate di spam, ma preferibilmente non consentire che molti spam (o altri) vengano effettivamente inviati.

Le macchine virtuali sono un metodo per far sì che diversi sistemi condividano lo stesso hardware, e tuttavia siano (nominalmente) isolati l'uno dall'altro. L'evasione dalla VM è normalmente impossibile, a meno che il motore della VM non abbia un buco di sicurezza e i motori VM esistenti do abbiano falle nella sicurezza, quindi ospitare un honeypot in una VM è un po 'rischioso. È comprensibile che, per un honeypot, tu voglia qualcosa economico (non contribuirà molto alla tua attività, dopotutto), e una VM di solito è più economica di un server fisico. Ma è davvero più sicuro usare una macchina fisica come honeypot, con una buona separazione di rete (firewall espliciti, nessuna VLAN ...). D'altra parte, una VM può essere un'istantanea, che è molto comoda per l'analisi post mortem.

Il punto principale di un honeypot è di servire come piattaforma di osservazione per scoprire quale tipo di attacco è in voga. Le aziende che scrivono sistemi di rilevamento delle botnet eseguono honeypot affinché le botnet possano osservare in condizioni controllate.

    
risposta data 09.10.2013 - 20:42
fonte

Leggi altre domande sui tag