Mi piacerebbe sapere dove un Honeypot rientra nello schema di sicurezza e se è ancora uno strumento efficace?
Tipicamente un honeynet viene usato come uno strumento difensivo ed è usato per (specie) trappisti. È progettato per ingannarli facendogli pensare di trovarsi su un sistema reale (anche se la maggior parte degli attaccanti in grado di rilevare rapidamente è un honeypot). Ingannando l'attaccante, il "proprietario di honeypot" spera di saperne di più sulle motivazioni e le tecniche dell'attaccante. L'honeypot è progettato per essere compromesso, ma non dovrebbe essere collocato in nessuna parte dell'infrastruttura in modo tale da poter essere utilizzato come punto di staging o punto di snodo per compromettere ulteriormente l'ambiente "reale".
Un sacco di gente parla di "Defense in Depth" un po 'e l'honeypot è un altro aspetto di questo ed è progettato per completare gli altri livelli. Come gli attaccanti in evoluzione, anche gli honeypot si sono evoluti e sono cambiati (la solita "corsa agli armamenti").
Tecnicamente parlando, un honeypot può essere usato come uno strumento offensivo (per scopi educativi) in cui una persona vuole imparare come attaccare e sfruttare la scatola, tuttavia, come ho detto in precedenza è più comunemente usato come meccanismo difensivo.
Per quanto riguarda la sua fattibilità o rilevanza oggi, ci sono state molte discussioni e ci sono sicuramente problemi con le tecniche e gli schieramenti di honeypot, ma credo ancora che gli honeypot siano rilevanti, una grande fonte di informazioni e se usate correttamente, possano migliorare la sicurezza del tuo ambiente.
Non mi piace dare collegamenti a Wikipedia, ma questo uno definisce abbastanza bene gli honeypot.
Raccomando anche di leggere sul Honeynet Project , è assolutamente fantastico - fanno delle sfide fantastiche, restituiscono incredibilmente alla comunità, partecipano in Google Summer of Code e avere alcuni documenti tecnici fantastici.