Con il termine honey pot (letteralmente barattolo di miele) si indica un’esca pensata dagli esperti di sicurezza online per ingannare gli hacker ed anticiparne/bloccarne le mosse, una cassaforte dentro alla quale i cyber criminali si aspettano di trovare preziosi dati. I vantaggi principali che offrono sono:
- monitoraggio e catalogazione di nuove modalità di attacco (malware, exploit etc.);
- possibilità di prevedere il lancio di un attacco o di bloccarne uno in corso (es: individuazione e blocco dell’IP dal quale è stato lanciato l’attacco ed isolamento di quest’ultimo dall’ambiente aziendale);
- basse percentuali di falsi negativi.
Gli utilizzatori abituali di esche sono coloro che operano nel settore della sicurezza online (ricercatori), i quali devono seguire costantemente (nei limiti del possibile) l’evoluzione delle minacce online (dalle strategia impiegate alla tecniche di evasione, solo per citarne alcune). Un lavoro ben confezionato, osserva Neil Weitzel (direttore sezione ricerche per la sicurezza presso Cygilant), può suggerire alle aziende ed agli operatori dei data center non solo le tecniche di attacco (anche inedite) adoperate dai malintenzionati ma anche i probabili bersagli (archivi etc.) della loro sortita:
“Alcune [esche sono davvero intelligenti e ben confenzionate e possono trasformarsi in loop infiniti per gli hacker che ci cadono dentro]. […] Altre sono soluzioni rumorose [pensate per attirare l’attenzione degli hacker su uno specifico bersaglio]”.
“Gli hacker [più abili rivolgeranno la loro attenzione a specifici obiettivi dell’ambiente di lavoro]. […] Non c’è alcun filo logico nel passare in rassegna [vari elementi] apparentemente vulnerabili. […] Gli honey pot devono essere pensati in modo che si integrino con la struttura operativa [del data center], non come qualcosa [di estraneo che vuole apparire vulnerabile agli occhi del malintenzionato di turno]” aggiunge invece Israel Barak (Chief information security officer presso Cybereason).
Gli honey pot sono maggiormente presenti nei grandi data center e presso le infrastrutture dei provider di servizi internet/cloud. E’ invece più difficile trovarli nei in data center più piccoli e privati anche perchè la loro creazione richiede diverso tempo e specifiche competenze. Non si tratta solo di un classico lavoro di programmazione ma anche d’implementazione dell’esca nell’ambiente che si desidera proteggere. Esistono tuttavia soluzioni alternative come “singoli file trappola” e la cosiddetta deception technology, una recente branca della cyber security pensata per depistare/rallentare gli hacker.
Strategie di difesa alternative
Gli honey pot, come già detto, sono soluzioni impiegate in grandi data center e quindi predisposte per agire su larga scala. Singoli “file esca” sono più semplici da creare e gestire ed in grado di svolgere ugualmente un buon lavoro. Si tratta di documenti che sfoggiano titoli interessanti e sono posizionati in posti strategici – visibili unicamente agli hacker. Nel caso in cui venga registrata qualsiasi attività sospetta (copia, cifratura, apertura etc.) scatta “il sistema d’allarme”: “il processo [che ha attaccato i file] deve essere immediatamente chiuso perchè non c’è alcun utilizzo legittimo di questi file”.
Una seconda opzione è quella di creare una copia esatta dell’ambiente di lavoro. L’idea è molto simile a quella degli honey pot e si rivela più impegnativa della precedente: “In pratica stai creando un intero ambiente che vuole sembrare esattamente uguale al tuo [normale ambiente di lavoro]. […] C’è molto lavoro da fare e devi mantenere tutti i sistemi aggiornati se vuoi [che gli hacker li scambino per reali]” commenta Alton Kizziah (vicepresidente Kudelski Security, sezione global managed services).
Una terza soluzione, la più economica e facile da gestire, è quella di affidarsi a tecnologie in grado di ostacolare/confondere gli “intrusi” (deception technology). Di cosa si tratta esattamente? Su Wikipedia si legge che “[queste tecnologie] automatizzano la creazione di trappole (esche) e diversivi che sono un tutt’uno con le risorse IT esistenti [e fungono da layer di protezione in grado di bloccare malintenzionati che sono penetrati nel network. Le trappole […] sono asset IT che utilizzano sistemi operativi reali o emulano dispositivi. Le trappole possono [anche apparire agli hacker come dispositivi medici, ATM etc.]”.
Oltre a non richiedere la creazione e manutenzione di ambienti “copia” (reti, server, endpoint) sono facili da implementare e mantenere aggiornate: “[I malintenzionati devono capire cosa si reale e cosa non lo sia e questo gli fa perdere tempo, rallentandoli. Ciò è indubbiamente utile perchè ti concede più tempo per localizzarli]” aggiunge Kizziah. Per le aziende che non dispongono della banda necessaria ad impiegare le deception technology è sempre possibile affidarsi ad imprese di terze parti che permettonodi usufruirne in modalità “as a service”.