Gli Honeypot sono dei sistemi informatici che fungono da esca per i cyber criminali, implementati con lo scopo di essere individuati ed attaccati, permettono di comprendere le minacce esistenti ed emergenti al fine di garantire la sicurezza delle reti.
Sono una tecnologia sempre più utilizzata dai team SOC (Security Operation Center) e dai provider MDR (Managed Detection and Response) ritagliandosi un ruolo fondamentale all’interno delle strategie di cyber security poiché permettono di formare il team di sicurezza in un ambiente non distruttivo, individuare schemi di attacco, individuare vulnerabilità dei sistemi informatici, monitorare l’evoluzione delle minacce.
Gli Honeypot rientrano a pieno titolo in quella che viene definita Deception Technology, un nuovo ramo della sicurezza informatica specializzata nella difesa da attacchi avanzati attraverso trappole, disinformazione e inganni.
Il CSIRT Italia definisce gli honeypot come:
“Sistema appositamente configurato in modo da apparire a un attaccante come un obiettivo appetibile (e spesso vulnerabile). Rappresenta una sorta di trappola per gli attaccanti e può essere utilizzato con diverse finalità, quali, ad esempio, rilevare attacchi in atto prima che questi possano raggiungere obiettivi sensibili (i veri asset che si vogliono proteggere), distrarre e rallentare l’attaccante concentrando la sua attenzione e le sue risorse verso un falso obiettivo, monitorare e analizzare gli attacchi verso specifiche tipologie di sistemi o dispositivi, comprendere le tecniche, le tattiche e le procedure utilizzate dall’attaccante”.
Niccolò Vascellari, System Engineer Manager di 7Layers: “Gli honeypot possono essere costituiti da una qualsiasi risorsa informatica, sia hardware che software (es. laptops, servers, IoT, ICS devices) e indipendentemente da dove e come vengono distribuiti (es. un router, script che emulano servizi, macchine virtuali o un sistema fisico) sono in grado di svolgere attività diverse come inviare alert sull’attacco in atto, registrare le attività intrusive, raccogliere informazioni sugli attaccanti e sui modelli di attacco, mantenendo come obiettivo primario quello di distrarre gli aggressori dalle risorse critiche”
Vantaggi:
Gli honeypot, nelle mani degli esperti di sicurezza, si dimostrano degli strumenti flessibili e fortemente adattabili alle diverse situazioni. Non fornendo servizi di produzione, i dati da essi raccolti sono automaticamente riconducibili ad una compromissione consentendo così di individuare velocemente gli exploit e permettendo un’analisi forense corretta e completa. Siccome analizzano soltanto i pacchetti ad essi diretti, si configurano in un ambiente ristretto e fortemente controllato capace di garantire costi di implementazione bassi.
Va inoltre sottolineata la loro capacità di individuare qualsiasi tipo di attacco informatico, perfino gli zero-day.
Svantaggi:
Queste soluzioni godono di un campo visivo limitato poiché in grado di considerare soltanto le azioni indirizzate verso gli Honeypot e di vedere soltanto gli eventi che avvengono al suo interno. Inoltre affinché svolga il suo compito, si rende indispensabile il mascheramento, è fondamentale infatti per un Honeypot offuscare la propria natura altrimenti l’attaccante si rende conto dell’inganno e prende di mira gli obiettivi sensibili.
L’avvento dell’industria 4.0 chiede alle imprese manifatturiere di implementare tecnologie digitali innovative portandole a confrontarsi con concetti come Smart manufacturing, Smart Factory, Industrial Internet of Things (IIOT), fino ad arrivare alla crescente adozione del Internet of Everything (IoE).
Macchinari, impianti e strutture diventano interconnessi per un operatività e produzione intelligente, migliorata, facilmente controllabile da remoto e automatizzata.
Definita quarta rivoluzione industriale, la convergenza degli Industrial Control System (ICS) tradizionali con le comunicazioni machine-to-machine (M2M) e IP pervade oggi anche le infrastrutture critiche. I sistemi di controllo industriale sono generalmente quelli che governano un processo industriale e spesso includono i Supervisory Control And Data Acquisition (SCADA), i Distributed Control System (DCS) e i Programmable Logic Controller (PLC). Le industrie che utilizzano questi sistemi sono infrastrutture altamente sensibili come quelle nucleari, chimiche, di fornitura e controllo dell’acqua, oleodotti e gasdotti, impianti di distribuzione di elettricità, ospedali,case farmaceutiche etc. rappresentando un obiettivo attraente per le operazioni di guerra informatica.
I principali problemi relativi agli ICS sono dovuti al fatto che non sono stati progettati per essere connessi ad internet e che l’affidabilità ha la precedenza sulla sicurezza perciò anche quando i produttori forniscono patch per vulnerabilità note, i tempi in cui queste vengono implementazione possono essere molto lunghi. In questi ambienti non è più sufficiente affidarsi ai firewall e antivirus, poiché sono soluzioni reattive che richiedono aggiornamenti per rilevare/prevenire nuove forme di traffico malevolo. In più le difese perimetrali sono state abbattute dal BYOD e gli exploit zero-day rimangono ancora non facilmente individuabili.
Riccardo Baldanzi, CEO di 7Layers: “La fusione del OT con l’IT ha quindi esposto gli ICS a nuove e potenti minacce e uno dei mezzi che oggi abbiamo a disposizione per mitigare le vulnerabilità di rete e scoprire nuovi attacchi è attraverso gli honeypot che consentono un approccio proattivo alla sicurezza”
In questo scenario Honeypots e Honeynets sono contromisure promettenti che attirano attaccanti e fuorviano dall’hacking dell’infrastruttura reale, guadagnando allo stesso tempo informazioni sui modelli di attacco e sulla fonte di attacco. Honeypot e honeynet possono rivelarsi essenziali per comprendere e difendersi dagli attacchi agli ambienti IoT, IIoT e CPS, questi sistemi e possono essere integrati facilmente all’interno della strategia difensiva delle organizzazioni.
Per ulteriori informazioni potete visitare il sito di 7layers: https://www.7layers.it/
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Innovazione
Cyber Italia
Innovazione
Vulnerabilità