April 28, 2023

Honeypot: trappole per cybercriminali

Nonostante il nome invitante, gli Honeypot danno filo da torcere agli hacker. Scopriamo perché queste “trappole” rappresentano un tassello fondamentale delle strategie adattive di cybersecurity di ogni azienda

image

Non solo gli hacker si evolvono, ma fortunatamente anche le tecniche difensive e di studio degli attacchi sono in continuo perfezionamento, e se ben applicate possono dare serio filo da torcere ai criminali informatici!

Una di queste è rappresentata dagli Honeypot.

1. Cos’è un Honeypot?

Il termine Honeypot deriva dal mondo dello spionaggio militare, in cui le spie ricorrevano all’inganno - metaforicamente rappresentato da un invitate e gustoso vaso di miele - per attrarre i nemici ed estorcere a loro insaputa le informazioni. Allo stesso modo, l’arte dell’inganno viene oggi impiegata anche sul campo delle battaglie informatiche.

Un cyber honeypot è una trappola, volutamente progettata per sembrare a tutti gli effetti un reale bersaglio agli occhi dell’hacker. Lo scopo è convincere l’attaccante che ha avuto accesso al reale sistema informatico e incoraggiarlo a trascorrere il maggior tempo possibile all'interno di questo ambiente per controllarlo, studiarne le tecniche di attacco, valutarne le capacità e i livelli di sofisticazione.

Un honeypot può essere modellato su qualsiasi risorsa digitale, inclusi server, applicazioni software o la rete stessa.

Infine, ma non meno importante, un Honeypot funge anche da esca per distrarre i criminali dagli obiettivi reali.

Grazie all’analisi dei comportamenti degli attaccanti, le informazioni d’intelligence raccolte dagli honeypot aiutano le organizzazioni a potenziare i sistemi di rilevamento e di risposta agli attacchi, nonché ad adattare la propria strategia di sicurezza informatica alle nuove minacce

2. Come funziona un Honeypot?

Un honeypot assomiglia esattamente ad un vero sistema informatico e comprende le applicazioni e i dati che i criminali informatici utilizzano per identificare un obiettivo ideale.

Un honeypot può assumere diverse sembianze. Ad esempio, può essere creato per simulare un gateway di pagamento, un obiettivo popolare per gli hacker, che contiene grandi quantità di informazioni personali e dettagli sulle transazioni, come numeri di carta di credito o informazioni sul conto bancario. Può anche simulare un database, che attira i criminali a raccogliere proprietà intellettuale, segreti commerciali o altre preziose informazioni sensibili.

Una volta che l’hacker è all’interno dell’honeypot, il team d’intelligence è in grado di osservarne i movimenti, prendere nota delle varie tecniche implementate e di analizzare come le difese del sistema reggono o falliscono. Questo permetterà all’organizzazione di adattare rapidamente i protocolli di sicurezza esistenti, per contrastare attacchi simili, su obiettivi reali, che potrebbero verificarsi in futuro.

Per rendere gli honeypot più attraenti, spesso, questi contengono vulnerabilità di sicurezza deliberate ma non necessariamente ovvie. Data la natura avanzata di molti avversari digitali, è importante che l’Honeypot non sembri troppo facile da attaccare. È improbabile che una rete non sufficientemente protetta inganni un avversario e potrebbe persino portare il malintenzionato, una volta resosi conto che si tratta di una trappola, a fornire informazioni errate o manipolare in altro modo l'ambiente per ridurne l’efficacia.

3. Benefici (e rischi) degli Honeypot

Gli honeypot rappresentano una parte importante di una strategia globale di sicurezza informatica e offrono diversi vantaggi che possono essere sfruttati per migliorare la sicurezza dell’organizzazione.

Facilità di analisi

Il traffico all’interno degli honeypot è limitato ai criminali informatici. Pertanto, in fase di analisi, non sarà necessario separare il traffico generato dagli attaccanti dal traffico web legittimo. Ciò significa che il team di sicurezza informatica sarà in grado dedicare più tempo all'analisi del comportamento dei criminali informatici.

Evoluzione continua

Una volta implementati, gli honeypot possono deviare un attacco informatico e raccogliere continuamente informazioni. In questo modo, il team di Threat Intelligence potrà registrare quali tipi di attacchi si stanno verificando e come si evolvono nel tempo. Questo rappresenta per le aziende l'opportunità di modificare i propri protocolli di sicurezza e adattarli alle nuove minacce riscontrate all’interno degli Honeypot.

Identificazione delle minacce interne

Gli honeypot permettono di identificare minacce alla sicurezza sia interne che esterne. Sebbene molte tecniche di sicurezza informatica si concentrino sui rischi provenienti dall'esterno dell'organizzazione, gli honeypot sono in grado di far confluire al proprio interno anche attori malevoli, che hanno già avuto accesso all’infrastruttura e che stanno tentando di accedere ai dati, agli indirizzi IP o ad altre informazioni sensibili dell'organizzazione.

È importante sottolineare che anche gli hacker possono utilizzare gli Honeypot a loro vantaggio. Qualora un attaccante fosse in grado di riconoscere che l’ambiente a cui ha avuto accesso è un'esca, potrebbe intenzionalmente inondare l'honeypot con attacchi ripetuti per distogliere l'attenzione dagli attacchi reali al sistema informatico reale o fornire deliberatamente informazioni errate all'honeypot. Proprio per questo è fondamentale affidare la creazione e l’analisi dei dati degli Honeypot ad analisti esperti in grado preparare un ambiente non riconoscibile in quanto esca.

4. Classificazione degli Honeypot

Gli honeypot possono essere classificati in molti modi diversi. A livello più basilare, gli honeypot sono differenziabili in base allo scopo per cui vengono utilizzati.

Production Honeypot

I Production Honeypot sono quelli più comuni. Questa esca viene utilizzata dalle aziende per raccogliere informazioni di intelligence sugli attacchi informatici all'interno della rete di produzione. Ciò può includere indirizzi IP, data e ora dei tentativi di intrusione, volume di traffico e altri attributi.

Research Honeypot

I Research Honeypot sono progettati per raccogliere informazioni sui metodi e le tecniche utilizzate dagli avversari, al fine di analizzare quali possibili vulnerabilità esistono all'interno del sistema in riferimento a tali tattiche.

5. Complessità degli Honeypot

Gli Honeypot possono inoltre essere classificati in base alla loro complessità e al livello di interazione.

Low-interaction Honeypot

Gli Honeypot a bassa interazione utilizzano un numero limitato di risorse e si limitano alla raccolta di informazioni basilari sugli attaccanti. Poiché sono piuttosto semplici, è improbabile che attirino a lungo l'attenzione di un attaccante. Come indicato nel paragrafo “Benefici (e rischi) degli Honeypots”, considerato il crescente livello di conoscenze dei criminali informatici, alcuni hacker potrebbero individuare Honeypot di “basso livello” ed evitarli o addirittura sfruttarli per fornire appositamente informazioni errate.

High-interaction Honeypot

Rispetto ai precedenti, sono progettati per coinvolgere i criminali informatici per lunghi periodi di tempo attraverso una rete di obiettivi esplorativi. I team di Threat Intelligence più evoluti fanno ricorso a questa tipologia di Honeypot per ottenere una comprensione più profonda delle tecniche di attacco. Rispetto ai Low-interaction Honeypot forniscono informazioni di qualità superiore e più funzionali per adattare i protocolli di sicurezza già in uso. La maggior parte dei Research Honeypot sono considerati honeypot ad alta interazione.

6. Tipologie di Honeypot

Infine, è possibile completare il processo di classificazione degli Honeypot suddividendoli in base al tipo di attività che rilevano. Vediamo alcuni esempi:

Email o Spam Honeypot

Un Email o Spam Honeypot consiste in un indirizzo e-mail fittizio, inserito in un campo nascosto, che può essere rilevato solo da un raccoglitore automatico di indirizzi o da un crawler del sito. Poiché l'indirizzo email non è visibile agli utenti legittimi, grazie a questa tipologia di honeypot è possibile classificare come spam tutta la corrispondenza consegnata a quella casella di posta e bloccare quel mittente e il suo indirizzo IP, nonché tutti i messaggi che corrispondono al suo contenuto.

Database Honeypot

Un Database Honeypot è un set di dati fittizio, intenzionalmente vulnerabile, per monitorare le vulnerabilità dei software e le fragilità dell'architettura di rete. Il database esca raccoglierà informazioni sulle tecniche di iniezione, il dirottamento delle credenziali o l'abuso dei privilegi utilizzati da un utente malintenzionato che possono quindi essere integrate nelle difese del sistema e nelle politiche di sicurezza.

Malware Honeypot

Un Malware Honeypot emula un’applicazione software o un'interfaccia di programmazione dell'applicazione nel tentativo di attirare attacchi di malware in un ambiente controllato e non minaccioso. Consente al Team di Threat Intelligence di analizzare le tecniche di attacco e sviluppare o migliorare soluzioni anti-malware per affrontare queste specifiche vulnerabilità, minacce o attori.

Spider Honeypot

Simile all’Email o Spam Honeypot, uno Spider Honeypot è progettato per intrappolare i web crawler, a volte chiamati spider, creando pagine web e collegamenti accessibili solo ai crawler automatici. L'identificazione di questi spider può aiutare le organizzazioni a capire come bloccare i bot dannosi.

Certego Cyber Threat Intelligence

Quokka è la piattaforma di Threat Intelligence di Certego per la raccolta, classificazione, analisi e condivisione delle informazioni sulle minacce e tattiche evolute.

Quokka è il cuore delle attività di Threat Intelligence di Certego:

  • Riceve input e richieste di analisi (IP, Domini, File, ecc.) da honeypot, sensori e utenti;
  • Elabora e correla i risultati per produrre una risposta che può essere facilmente utilizzata in più contesti: avvisi automatici, analisi manuale, arricchimento dei dati, ecc.

I dati vengono continuamente aggiornati dal team di ricerca e automaticamente diffusi sulla piattaforma di Managed Detection and Response proprietaria Certego PanOptikon® , per adattare in tempo reale i sistemi di sicurezza dei nostri clienti ed identificare le minacce più innovative.

I servizi di Cyber Threat Intelligence di Certego aiutano inoltre le aziende a prendere decisioni più rapide, migliorare l’impatto degli investimenti e la distribuzione delle risorse aziendali per le attività di cybersecurity.

Per saperne di più consulta l’area del nostro sito dedicata alla Cyber Threat Intelligence.

 Pier Giorgio Bergonzi, Product Marketing Specialist

Subscribe

Sign up to our newsletter

Clicking Submit, I agree to the use of my personal data in accordance with Certego Privacy Policy. Certego will not sell, trade, lease, or rent your personal data to third parties.