La sfida
La Sicurezza Informatica è un grande problema, non solo perché i criminali informatici possono causare danni enormi alle organizzazioni, ma anche per i costi.
Rilevare gli hacker all’interno della rete è la spesa continuativa più alta, perché richiede competenze umane - e non sono a buon mercato.
Non ci sono molte alternative: alla fine si tratta sempre di analizzare enormi quantità di log/eventi e cercare l’ago nel pagliaio... giusto?
Beh, non necessariamente.
Un approccio diverso
Gli honeypot offrono un approccio fondamentalmente diverso: sono trappole digitali che si attivano quando qualcuno interagisce con esse.
Molto più economici da implementare e mantenere, mantenendo i falsi positivi - e le ore uomo - vicini allo zero.
Sì, hanno un limite intrinseco: sono una soluzione di sicurezza passiva.
Ma questo svantaggio è molto, molto meno significativo di quanto si possa pensare.
Perché gli Honeypot sono così efficaci
Gli hacker sono tutt'altro che lo stereotipo di Hollywood: non digitano freneticamente su schermi lampeggianti mentre una barra di caricamento “Breaching Firewall” si riempie.
Sono intelligenti, pazienti e metodici. Usano molteplici tecniche per volare sotto il radar e non essere rilevati mentre esplorano i tuoi sistemi.
L’hacking reale consiste nel sondare, osservare e raccogliere informazioni. Non si tratta di colpire direttamente gli asset principali, ma di muoversi furtivamente e avvicinarsi un passo alla volta.
Ed è per questo che gli Honeypot sono così efficaci: la probabilità che un Honeypot venga toccato è alta, molto alta. E non dovresti averne solo uno.
Un buon honeypot si presenta come un sistema di medio livello: interessante, realistico, potenzialmente utile per fare il colpo grosso - una facile preda.
Pensa a un servizio interno come un Database, un Server di Backup o persino un sistema SCADA per una macchina CNC... ma falso.
Invece di trovare segreti e informazioni, è l’attaccante stesso a essere scoperto.
Contro un attaccante esperto, gli Honeypot sono più efficaci delle soluzioni di sicurezza basate sui log che costano ordini di grandezza in più perché giocano al gioco dell’attaccante, non a quello del difensore.
Tecnologia della Deception
La parte più affascinante degli Honeypot - se il rapporto costo/efficacia non fosse già abbastanza convincente - è che non solo rilevano gli hacker, ma li ingannano.
Un buon Honeypot accoglie l’attaccante: non troppo facilmente da non richiedere impegno, ma neanche così difficilmente da scoraggiarlo.
Mantiene l’illusione anche dopo la violazione iniziale, spostando l'apparente segreto sempre un passo più in là — e questo fa guadagnare tempo per neutralizzare la minaccia prima che possa causare danni.