Honey pot – Capcana cu miere – Definiţie, clasificare, avantaje și dezavantaje.
Honey pot – Definiție
Honey pot sau borcanul cu miere este un termen folosit în terminologia IT pentru a defini o resursă de securitate a cărei valoare stă în faptul că poate fi testată, atacată sau compromisă. Honey pot poate fi un server, un router, o adresă de email publicată pe un site web sau orice alt activ de reţea ce poate fi la un moment dat ţinta unui atac informatic.
Clasificare
Honey pot-urile se clasifică în:
- de producţie – sunt utilizate de către companiile comerciale pentru a-şi îmbunătăţi securitatea reţelelor informatice;
- pentru cercetare – sunt proiectate pentru a obţine informaţii despre comunitatea “blackhat”. Sunt utilizate de instituţiile de învăţământ precum şi de organizaţiile guvernamentale sau militare implicate în studiul şi implementarea securităţii informatice, în scopul descoperirii metodelor utilizate atacatori pentru a penetra reţelele de calculatoare.
Avantajele şi dezavantajele utilizării honey pot-urilor în domeniul securităţii informatice
Ingeniozitatea borcanelor cu miere stă în simplitatea lor. Sunt dispozitive destinate compromiterii nu şi pentru a produce valoare.
De la un honey pot nu va sosi niciodată trafic util. De câte ori este efectuată o conexiune spre acesta, va fi cel mai probabil trafic de cercetare, de scanare sau chiar un atac.
De câte ori este iniţiată o conexiune din honey pot atunci înseamnă că acesta a fost compromis. În general, tot traficul spre şi de la acesta este trafic suspect.
Avantajele honey pot-urilor
Pot colecta de informaţii cu privire la tacticile atacatorilor
Honey pot-urile colectează puţine informaţii dar de o valoare foarte mare. O problemă pentru administratorii de reţea, o reprezintă urmărirea traficului suspect. În condiţiile unui trafic cu un volum foarte mare (de zeci de Gb zilnic), descoperirea unor încercări de penetrare este foarte dificilă. Honey pot-urile pot oferi exact informaţiile de care aceştia au nevoie.
Utilizează resurse puține
În situaţia unui trafic intens, serviciile de monitorizare de pe servere pot fi depăşite, astfel încât unele pachete TCP/IP pot trece fără a fi înregistrate sau verificate. Honeypot-urile nu prezintă această problemă.
Dezavantajele honey pot-urilor
Toate honeypot-urile împărtăşesc aceeaşi problemă : sunt inutile dacă nimeni nu le atacă sau dacă nimeni nu trimite un pachet suspect, caz în care, nu poate fi semnalată iminenţa unui atac.
Honeypot-urile implică unele riscuri legate de posibilitatea preluării de către atacator a controlului platformei pe care sunt construite, platforme ce pot fi ulterior utilizate pentru a lansa alte atacuri informatice.