Definizione di honeypot
Nel campo della sicurezza informatica, l'honeypot è un computer messo in piedi dai ricercatori, al solo scopo di attrarre i cybercriminali e studiarne il comportamento, le tecniche e gli obiettivi. Di solito l'honeypot è isolato dall'ambiente di produzione dell'azienda e serve a fare da esca per indurre gli hackers ad accanirsi su di esso, distogliendo l'attenzione e proteggendo in questo modo la rete, i sistemi e i dati aziendali.
Storia dell’honeypotting
L’honeypotting, o honeypot system, è uno strumento ben noto e utilizzato in molte organizzazioni come arma di difesa dalle minacce informatiche. Ma i progressi tecnologici nel campo della sicurezza, hanno portato alla nascita di una nuova affascinante area della cybersecurity, nota come “deception technology” letteralmente “tecnologia dell'inganno” che prevede esche e trappole, disposte strategicamente attorno a - e a volte all'interno di - sistemi chiave. Una volta che un cybercriminale penetra nell'honeypot, i sistemi trappola predisposti iniziano a monitorare ogni mossa dell'attaccante, registrano la sua attività e a volte passano al contrattacco.[1] La ricerca Gartner ha definito nel 2016 la deception technology come una tecnologia emergente, che stava già diventando una valida soluzione a livello commerciale.[2]
La tecnologia dietro l’honeypot trap
Le tecnologie basate sull'utilizzo dell’honeypot trap e di altri strumenti di deception technology possono rivelarsi molto utili ed efficaci nel rilevare gli intrusi e nell’impedir loro di fare altri danni, ma sono diversi i passi che un'azienda, che intende adottare una piattaforma DDP (Distributed Deception Platform) a protezione della propria rete, deve fare - come affermato da Augusto Barros, vicepresidente di Gartner Research.[3]
È importante decidere, ad esempio, la giusta tempistica con cui iniziare ad investire in una piattaforma DDP a discapito di altri sistemi di sicurezza tradizionali - continua Barros. Bisogna valutare attentamente se abbia senso o meno, spostare gli investimenti dalle tecnologie di sicurezza in uso nell'azienda, alle nuove tecnologie di deception technology. È chiaro ad esempio, che qualsiasi azienda voglia iniziare ad investire in questo tipo di tecnologia, deve essere certa di aver prima fatto un'accurata valutazione sulle attuali vulnerabilità delle proprie reti e sistemi.
Il futuro dell’honeypot in computer security
Diverse aziende hanno già iniziato a sviluppare prodotti basati sulla deception technology, di cui fanno parte gli honeypot. Per questo i ricercatori americani dell'Universià di Dallas, in Texas hanno provato a ipotizzare un possibile scenario sul futuro di questa tecnologia, l’honeypot, in computer security, sviluppando loro stessi la tecnica DeepDig (DEcEPtion DIGging) che si basa sul posizionare trappole ed esche su sistemi reali, per poi servirsi dell'intelligenza artificiale per studiare a fondo il comportamento dei malware utilizzati dai cybercriminali per compromettere i sistemi e capirne il funzionamento. La tecnica è stata concepita per sfruttare gli attacchi dei cybercriminali come risorsa gratuita per allenare in tempo reale le reti neurali dei sistemi di rilevamento delle intrusioni basati sul machine learning (IDS). Questi sistemi esca sono progettati per funzionare come honeypot, così da permettere agli addetti alla sicurezza informatica di contrastare attivamente gli intrusi, una volta che questi sono penetrati nel sistema.[4]
[1] Varun Haran, BankInfoSecurity.com “Tecnologie di deception technology nel 2020”
[2] Lawrence Pingree, Gartner “Deception-related technology – it’s not just ‘nice to have’, it’s a new strategy of defense”
[3] Augusto Barros Gartner Research “Nuova Ricerca: La Deception Technology”
[4] John Leyden, The Daily Swig “Honeypot basati sull'intelligenza artificiale: il machine learning può essere utile per migliorare i sistemi di rilevamento delle intrusioni”
Cos’è la Threat Intelligence?
La threat intelligence protegge le aziende dalle minacce monitorando cybercriminali, malware ed altro. Scopri subito come funziona la Threat Intelligence!
Che cos'è una sandbox?
In informatica, la sandbox del computer è una macchina virtuale usata per eseguire malware malevoli senza causare danni ai pc. Scopri come funziona.
Proofpoint Web Security
Proofpoint Web Security protegge i tuoi dipendenti dalle minacce avanzate mentre navigano sul web.
Cosa sono i malware
Il termine malware — significato letterale “software malevolo” — indica ogni programma dannoso per il computer. Scopri come difenderti contro i malware virus.