Gli honeypot sono di nuovo attuali. Nel caso vi foste fermati allo stand di Watchguard alla RSA Conference dello scorso mese a San Francisco, è probabile che vi siate collegati a uno dei suoi hotspot Wi-Fi. Questi hotspot erano lì per registrare quante persone avrebbero provato a connettersi a una rete aperta e Watchguard ha rilevato che il tempo medio era più che sufficiente per compromettere la connessione. Recentemente il ricercatore Doug Rickert ha sperimentato con l’honeypot open source Cowrie SSH, scoprendo una media di almeno 200 tentativi quotidiani di intromissione, alcuni dei quali da parte di hacker di alto livello che hanno cercato di penetrare ulteriormente nel suo honeypot.

L’attenzione verso questi strumenti è meritata, in quanto gli honeypot possono essere utili per un’ampia varietà di scopi. Possono aiutare a individuare rapidamente gli aggressori, fornire un nuovo modo per automatizzare misure di sicurezza informatica più offensive e possono essere utili anche per le piccole imprese che non dispongono di centri di sicurezza propri o di un vasto personale IT. Ora sono stati rebrandizzati come soluzioni di “cyber inganno” e a volte indicati come honeynets.

Impostare un honeynet

Mettere in piedi un semplice honeypot non è difficile e, oltre a Cowrie, potete trovare numerosi prodotti open source, partendo dall’originale Honeyd e dagli honeypot MongoDB e NoosQL fino a quelli che emulano i server web. Alcuni sembrano addirittura SCADA o altre applicazioni più avanzate.

Il problema sta nel gestire tutte queste esche. La maggior parte di questi progetti open source esegue infatti solo uno o due protocolli e quindi avrete bisogno del vostro “esercito” di honeypot per coprire la gamma di servizi Internet che le più moderne aziende usano per fornire le loro applicazioni. Inoltre, ogni progetto open source ha il proprio schema di notifica e monitoraggio, che può essere scoraggiante da gestire se ne eseguite molti diversi sulla vostra rete.

Idealmente la cosa migliore sarebbe uno strumento in grado di scoprire automaticamente le risorse di rete esistenti, di assemblare una serie di esche che imitano ciò che avete in esecuzione e quindi di tenere traccia di ciò che accade a queste esche e scoprire chi sta abboccando. Ciò che rende un honeypot così convincente è che nessun utente reale dovrebbe mai essere visto lì: chiunque vi si fermi infatti, è qualcuno che non dovrebbe essere sulla vostra rete.

honeypot-screen-2-100757962-large

Gli obiettivi degli honeypot

L’obiettivo di queste “reti di inganno” è triplice.

  1. Ridurre il tempo di permanenza di qualsiasi utente malintenzionato o malware nella vostra rete. Ciò consente di rilevare e chiudere qualsiasi violazione. Più rapidamente vi viene notificato un utente malintenzionato, meglio è. Dato che gli hacker stanno diventando più abili a nascondersi usando malware fileless e tecniche polimorfiche che non si lasciano dietro molte tracce digitali, c’è bisogno di metodi più sofisticati per trovarli. Gli honeypot vantano un tasso di falsi positivi molto basso e quindi, quando vi avvisano di qualcosa di sospetto, saprete che dovrete mettere in campo un’azione appropriata. Ciò può essere interessante per i comparti IT più piccoli che non vogliono costruire un centro di monitoraggio della sicurezza 24/7 per conto proprio.
  2. Integrare i vostri strumenti di protezione della rete e trovare eventuali lacune in essi. Avere una serie di honeypot sparsi nella vostra rete aiuta a trovare questi wormhole in modo da poter rafforzare la vostra sicurezza e utilizzare i loro risultati anche per un’analisi e una intelligence più difensive. Alcune aziende usano strumenti di inganno per aiutare a formare le capacità di ricerca dei loro team di sicurezza.
  3. Ridurre il tempo necessario per implementare le vostre esche e far funzionare il tutto. Alcuni strumenti forniscono esche molto realistiche e una vasta gamma di tipi di inganni, tra cui terminali ATM e controller SCADA che sembrano simili a veri computer in esecuzione. Ad esempio, TrapX ha una vasta gamma di integrazioni per il supporto sandbox tra Cisco AMP Threat Grid, McAfee ATD, Palo Alto Networks WildFire, ThreatTrack e Cuckoo.

Più realismo c’è, più elevata è la possibilità di intrappolare e tenere impegnato un hacker per molto tempo. Perché questo aspetto è così importante? Perché in questo modo potete ottenere più dati su chi sta penetrando nella vostra rete e sui metodi che gli hacker utilizzano. Questo è il motivo per cui alcuni strumenti vengono forniti con il proprio pacchetto forense o altri motori di analisi.

Tipi di honeypot

Idealmente una rete di inganno dovrebbe includere tutti e quattro i seguenti tipi di honeypot.

  • Sistemi puri che eseguono i sistemi operativi reali e hanno funzioni speciali per monitorare le interazioni.
  • Honeypot ad alta interazione che utilizzano tipicamente macchine virtuali (VM) o altre emulazioni.
  • Honeypot a bassa interazione che utilizzano macchine virtuali più elementari e sono progettati per simulare solo un aspetto particolare di una risorsa o di un server.
  • Copie di file, credenziali memorizzate in particolari posizioni di memoria o chiavi del registro di sistema che tentano di simulare ciò che normalmente si trova sulla macchina di un utente reale, spesso usata come esca.

Suggerimenti per l’acquisto di un prodotto honeynet

  • Concentratevi innanzitutto sul prezzo. Alcuni prodotti vi fanno pagare a sottorete o a endpoint, altri hanno licenze diverse. La maggior parte offre prove gratuite dopo che hanno registrato il vostro interesse. Noterete in questa tabella stilata da CSOonline che la colonna dei prezzi nella tabella è relativamente avara di informazioni e questo perché alcuni vendor hanno rifiutato di fornire informazioni sui prezzi.
  • Esaminate il livello di automazione offerto in termini di distribuzione e riconfigurazione della rete di esche e honeypot. Quando cambiate la vostra configurazione di rete, idealmente la vostra rete di inganno dovrebbe imitare questi cambiamenti.
  • Cercate di capire quali report e avvisi arriveranno da questi sistemi e in che modo li integrerete nella rete esistente, nei centri di comando delle operazioni di sicurezza, negli analizzatori di log o in altri strumenti di gestione. Mentre questi prodotti hanno bassi tassi di falsi positivi, vorrete comunque sapere cosa fare quando ricevete un segnale di allarme.