Cos’è l’honeypot?

Un honeypot in cybersecurity è un meccanismo di sicurezza esca progettato per attirare gli aggressori informatici in modo che i ricercatori di sicurezza possano osservare come operano e cosa potrebbero cercare. L’honeypot, in genere isolato dall’ambiente di produzione principale dell’organizzazione, funge da esca per attirare i cybercriminali e farli entrare in contatto con il sistema senza mettere in pericolo i dati dell’organizzazione.

Gli honeypot sono creati intenzionalmente per apparire vulnerabili e allettanti per gli aggressori, imitando un obiettivo legittimo come una rete, un server o un’applicazione. Quando l’honeypot attira gli aggressori, gli analisti della sicurezza possono raccogliere informazioni sulle loro identità, sui metodi di attacco e sugli strumenti che utilizzano. Un’organizzazione può quindi utilizzare queste informazioni per: migliorare la propria strategia di cybersecurity, identificare potenziali punti ciechi nell’architettura esistente, prioritizzare e concentrare gli sforzi di sicurezza in base alle tecniche utilizzate o alle risorse più comunemente prese di mira.

Gli honeypot sfruttano un obiettivo di attacco artificiale per attirare i criminali informatici lontano dagli obiettivi legittimi, consentendo ai team di cybersecurity di monitorarli e di sviare gli avversari dagli obiettivi reali.

Imitando i sistemi del mondo reale - database finanziari, dispositivi IoT o persino configurazioni di rete più ampie - gli honeypot sono obiettivi apparentemente vulnerabili che vengono isolati e monitorati da vicino. Qualsiasi interazione con un honeypot è in genere considerata sospetta, poiché non esiste un vero scopo operativo per cui gli utenti legittimi possano interagire con esso.

La magia degli honeypot risiede nella loro capacità di ingannare gli hacker. Quando gli aggressori si confrontano con queste esche, rivelano inconsapevolmente le loro strategie, strumenti e intenzioni. I team di sicurezza hanno la possibilità di osservare in prima persona le potenziali minacce, studiando i metodi degli aggressori in un ambiente controllato.

In sostanza, le honeypots agiscono come trappole e distrazioni digitali. Distolgono i malintenzionati dalle risorse reali, fornendo al contempo preziose informazioni sulle vulnerabilità potenziali e sulle minacce emergenti. Comprendendo e analizzando le interazioni con gli honeypots, le organizzazioni possono rafforzare le loro difese di cybersecurity in modo più informato e proattivo.

Il concetto di honeypot esiste dalla fine degli anni Ottanta e dall’inizio degli anni Novanta. L’idea è stata documentata per la prima volta in due pubblicazioni del 1991: “The Cuckoo’s Egg” di Clifford Stoll e “An Evening with Berferd” di Bill Cheswick. Ma è solo nel 1997 che viene rilasciato il Deception Toolkit di Fred Cohen, una delle prime soluzioni honeypot disponibili per la comunità della sicurezza. Un anno dopo, nel 1998, iniziò lo sviluppo di CyberCop Sting, uno dei primi honeypot commerciali venduti al pubblico.

Gli honeypot si sono evoluti nel tempo e la moderna tecnologia di inganno prevede trappole e esche posizionate strategicamente intorno ai sistemi critici. Una volta che un attaccante è penetrato in un honeypot, questi sistemi esca osservano, tracciano e talvolta contrattaccano per attaccarlo.^[1] Gartner Research ha identificato la tecnologia di inganno come una “tecnologia emergente” nel 2016 che sta diventando “fattibile sul mercato”.^[2]

In una strategia di cybersecurity si possono utilizzare diverse tipologie di honeypots. Alcuni delle più comuni includono:

• Honeypots di produzione: questi honeypots sono posizionati accanto a veri e propri server di produzione ed eseguono gli stessi tipi di servizi. Gli honeypots di produzione individuano le compromissioni nelle reti interne e ingannano gli attori malintenzionati.
• Honeypots di ricerca: gli honeypots di ricerca forniscono informazioni preziose sulle ultime tecniche e strumenti di attacco dei criminali informatici. Possono essere utilizzati per migliorare le misure di sicurezza e sviluppare nuove strategie di difesa.
• Honeypot a bassa interazione: questo tipo di honeypot consente un’interazione parziale con i sistemi, poiché esegue servizi emulati limitati con funzionalità ristrette. Le honeypot a bassa interazione sono un meccanismo di rilevamento precoce che le organizzazioni utilizzano comunemente negli ambienti di produzione.
• Honeypots ad alta interazione: gli honeypots ad alta interazione sono più complessi e consentono agli aggressori di interagire con un sistema operativo reale. Richiedono più risorse e più manutenzione rispetto agli honeypot a bassa interazione.
• Honeypots pure: gli honeypots pure si riferiscono a un sistema in scala reale in esecuzione su vari server. Imita completamente il sistema di produzione. Le informazioni e i dati degli utenti vengono manipolati in modo da apparire riservati e sensibili, mentre vari sensori tracciano e osservano l’attività degli attori delle minacce.
• Honeypot client: questo tipo di honeypot viene creato per simulare sistemi client vulnerabili, come i browser web o i client di posta elettronica. Gli honeypot client possono essere utilizzati per rilevare e analizzare gli attacchi lato client.
• Honeypots virtuali: questi honeypot sono macchine virtuali che simulano un sistema reale. Possono essere utilizzate per rilevare e analizzare gli attacchi agli ambienti virtualizzati.

Ogni tipologia di honeypot presenta casi d’uso specifici e conseguenti punti di forza e di debolezza. Pertanto, le organizzazioni devono valutare attentamente i propri obiettivi e le proprie risorse quando progettano una strategia di honeypotting.

Gli honeypot sono uno strumento prezioso in una strategia di cybersecurity e offrono diversi vantaggi alle organizzazioni.

• Rilevamento precoce degli attacchi: gli honeypot possono fornire un avviso precoce di attacchi informatici nuovi o precedentemente sconosciuti, consentendo ai team di sicurezza IT di rispondere in modo più rapido ed efficace.
• Miglioramento della sicurezza: possono migliorare significativamente la posizione di sicurezza di un’organizzazione, fornendo una maggiore visibilità e consentendo ai team di sicurezza IT di difendersi dagli attacchi che il firewall non riesce a prevenire.
• Distrazione per gli aggressori: gli honeypot sono una preziosa distrazione per gli aggressori. Più tempo e sforzi consumati con gli honeypot significano meno sforzi dedicati agli obiettivi legittimi.
• Raccolta di informazioni sugli aggressori: gli honeypot raccolgono efficacemente informazioni sugli aggressori, compresi i loro metodi, strumenti e comportamenti. Queste informazioni possono essere utilizzate per migliorare la strategia di cybersecurity di un’organizzazione e sviluppare nuove strategie di difesa.
• Verifica dei processi di risposta agli incidenti: un honeypot aiuta le organizzazioni a testare i processi di risposta agli incidenti e a identificare le aree da migliorare.
• Affinamento dei sistemi di rilevamento delle intrusioni: gli honeypot aiutano a perfezionare l’intrusion detection system (IDS) e la risposta alle minacce di un’organizzazione per gestire e prevenire meglio gli attacchi.
• Strumento di formazione per il personale di sicurezza: gli honeypot possono essere utilizzati come strumento di formazione per il personale tecnico della sicurezza per mostrare come lavorano gli aggressori ed esaminare diversi tipi di minacce in un ambiente controllato e sicuro.

Le tecnologie basate sull’utilizzo dell’honeypot trap e di altri strumenti di deception technology possono rivelarsi molto utili ed efficaci nel rilevare gli intrusi e nell’impedir loro di fare altri danni, ma sono diversi i passi che un’azienda, che intende adottare una piattaforma DDP (Distributed Deception Platform) a protezione della propria rete, deve fare - come affermato da Augusto Barros, vicepresidente di Gartner Research.^[3]

Altre best practice per l’implementazione di honeypot e tecnologie di deception includono:

• In primo luogo, è necessario effettuare un test prima di implementare honeypot o tecnologie di deception in un ambiente di produzione.
• Per evitare l’affaticamento degli avvisi e per garantire che il sistema rilevi le minacce reali, è necessario regolare con precisione i falsi positivi e i negativi.
• Utilizzare una piattaforma di deception distribuita (DDP) che prevede trappole e esche posizionate strategicamente intorno ai sistemi chiave.
• Distribuire le tecnologie di deception al di là delle honeypots, fino agli endpoint, ai server e ai dispositivi, per raccogliere informazioni in tutto l’ambiente di produzione.
• Utilizzare strumenti di deception poco costosi da configurare e mantenere e che richiedano un impegno minimo per la configurazione e la gestione.
• Assicurarsi che l’honeypot sia isolato dagli ambienti di produzione principali dell’organizzazione, in modo da fungere da esca per attirare gli aggressori e farli entrare in contatto con esso senza mettere in pericolo i dati dell’organizzazione.
• Creare uno o più utenti honey e configurare i file honey su una rete condivisa.
• Gestire gli avvisi honey per garantire che il sistema rilevi le minacce reali.

Seguendo queste best practice, le organizzazioni possono implementare efficacemente gli honeypot e le tecnologie di deception per migliorare la loro strategia di cybersecurity e identificare potenziali punti ciechi nell’architettura esistente.

Sebbene gli honeypot possano essere strumenti di cybersecurity preziosi, possono presentare diverse sfide e limitazioni.

• Portata limitata: gli honeypot rilevano solo le minacce che interagiscono con loro. Se gli aggressori prendono di mira altre parti della rete ed evitano l’honeypot, la minaccia può passare inosservata.
• Manutenzione: gli honeypot richiedono aggiornamenti continui per imitare in modo convincente i sistemi reali. Gli aggressori esperti potrebbero riconoscere facilmente un honeypot obsoleto.
• Potenziale abuso: se non adeguatamente isolati o protetti, gli aggressori possono sfruttare gli honeypot come punto di lancio per ulteriori attacchi alla rete.
• Falso senso di sicurezza: affidarsi esclusivamente agli honeypot potrebbe indurre le organizzazioni a trascurare altre misure di sicurezza essenziali, con conseguenti potenziali vulnerabilità.
• Intensità di risorse: l’impostazione, la gestione e l’analisi dei dati provenienti dagli honeypots possono richiedere un notevole dispendio di risorse, sia in termini di tempo che di competenze.
• Rischio di rilevamento: aggressori sofisticati potrebbero riconoscere ed evitare gli honeypot, rendendoli inefficaci contro le minacce avanzate.
• Sovraccarico di dati: gli honeypots possono generare grandi quantità di dati, che possono essere difficili da analizzare in modo efficace, soprattutto se ci sono numerosi falsi positivi.
• Requisiti di competenza: l’implementazione e la gestione degli honeypot richiede competenze per garantire che siano efficaci e non introducano ulteriori vulnerabilità.
• Potenziale di escalation: impegnarsi con alcuni aggressori potrebbe indurli a intensificare i loro sforzi, portando potenzialmente ad attacchi più aggressivi all’organizzazione.

La comprensione di queste limitazioni e sfide è essenziale per le organizzazioni che stanno considerando l’implementazione di honeypots, assicurando che vengano utilizzate in modo efficace all’interno di una strategia di cybersecurity più ampia.

Gli honeypot sono stati utilizzati in vari scenari per studiare e contrastare attività dannose. Ecco alcuni casi d’uso ed esempi:

• Gli honeypot di ricerca analizzano come si diffonde un nuovo ceppo di malware o studiano il comportamento delle botnet. Esempio: le università o le organizzazioni di ricerca sulla sicurezza informatica possono distribuire honeypots per raccogliere dati sulla propagazione del malware, sulle tecniche di attacco o sulle minacce emergenti.
• Gli honeypot di produzione proteggono i dati sensibili dei clienti dirottando gli aggressori verso il server esca. Esempio: un istituto finanziario potrebbe creare un honeypot che imita un server di transazioni per attirare gli aggressori e monitorare le loro strategie.
• Gli honeypot IoT comprendono le minacce specifiche dei dispositivi IoT, come particolari ceppi di malware o tecniche di sfruttamento. Esempio: un’azienda che distribuisce più dispositivi IoT crea una finta rete di dispositivi IoT come honeypots.
• Gli honeypots di database attirano e rilevano gli aggressori che mirano a dati sensibili o proprietari. Esempio: un database esca riempito di dati inventati ma che imita la struttura di un database autentico.
• Gli honeypot delle applicazioni Web identificano le tecniche di attacco basate sul Web, come l’iniezione SQL o i tentativi di cross-site scripting. Esempio: un sito di e-commerce finto o un portale web che appare vulnerabile.
• Gli Spam honeypots (Spampots) studiano le campagne di spam, i tentativi di phishing o gli allegati dannosi. Esempio: un server di posta elettronica esplicitamente progettato per attirare e catturare email di spam e malware.
• Gli honeypot client raccolgono e analizzano nuove varianti di malware o comprendono l’infrastruttura delle reti di criminali informatici. Esempio: un sistema impostato per interagire attivamente con server dannosi per raccogliere campioni di malware o studiare kit di exploit.
• Gli honeytoken rilevano gli accessi non autorizzati o i data breach quando vengono utilizzate queste credenziali false. Esempio: una credenziale utente o una chiave API inventata e disseminata all’interno di un sistema.

Impiegando gli honeypot in questi diversi scenari, le organizzazioni possono ottenere informazioni sulle potenziali minacce, migliorare la loro posizione di sicurezza e proteggere meglio le loro risorse autentiche.

Diverse aziende hanno già iniziato a sviluppare prodotti basati sulla deception technology, di cui fanno parte gli honeypot. Per questo i ricercatori americani dell’Universià di Dallas, in Texas hanno provato a ipotizzare un possibile scenario sul futuro di questa tecnologia, l’honeypot, in computer security, sviluppando loro stessi la tecnica DeepDig (DEcEPtion DIGging) che si basa sul posizionare trappole ed esche su sistemi reali, per poi servirsi dell’intelligenza artificiale per studiare a fondo il comportamento dei malware utilizzati dai cybercriminali per compromettere i sistemi e capirne il funzionamento. La tecnica è stata concepita per sfruttare gli attacchi dei cybercriminali come risorsa gratuita per allenare in tempo reale le reti neurali dei sistemi di rilevamento delle intrusioni basati sul machine learning (IDS). Questi sistemi esca sono progettati per funzionare come honeypot, così da permettere agli addetti alla sicurezza informatica di contrastare attivamente gli intrusi, una volta che questi sono penetrati nel sistema.^[4]

Inoltre, il futuro delle tecnologie honeypot potrebbe coinvolgere anche piattaforme di inganno distribuito (DDP) più complesse. Queste piattaforme prevedono trappole e esche posizionate strategicamente intorno ai sistemi chiave, consentendo alle organizzazioni di raccogliere informazioni in tutto l’ambiente di produzione. Questa strategia consente alle organizzazioni di identificare le minacce con maggiore precisione e di allocare le risorse di sicurezza concentrandosi sui metodi utilizzati o sugli asset attaccati più frequentemente.

Proofpoint offre una serie di soluzioni di cybersecurity da utilizzare con gli honeypots per migliorare la postura della cybersecurity di un’organizzazione. Queste soluzioni includono la sicurezza delle email, la sicurezza del cloud, la threat intelligence e la formazione sulla sicurezza.

Utilizzando le soluzioni di Proofpoint, le organizzazioni e le aziende possono migliorare la loro capacità di rilevare e rispondere alle minacce informatiche, comprese quelle rilevate dagli honeypots. Per ottenere maggiori informazioni, contatta Proofpoint.

[1] Varun Haran, BankInfoSecurity.com “Deception Technology in 2020”
[2] Lawrence Pingree, Gartner “Deception-related technology – it’s not just ‘nice to have’, it’s a new strategy of defense”
[3] Augusto Barros Gartner Research “New Research: Deception Technologies”
[4] John Leyden, The Daily Swig “AI-powered honeypots: Machine learning may help improve intrusion detection”