Il nuovo rapporto dell’agenzia europea ENISA sugli honeypot – le trappole digitali che smascherano gli attacchi informatici – risveglia grande interesse
L’ENISA, l’agenzia europea per la sicurezza informatica, è in procinto di rendere pubblico uno studio approfondito riguardante 30 diverse “trappole digitali”, i cosiddetti honeypot, che i CERT (Computer Emergency Response Teams) e i CERT nazionali/governativi possono utilizzare per individuare con efficacia attacchi informatici. Lo studio rivela difficoltà nella comprensione dei concetti base di honeypot e presenta raccomandazioni sugli honeypot da utilizzare.
Un crescente numero di complessi attacchi informatici rende necessario il miglioramento delle capacità di individuazione e di allarme precoce da parte dei CERT. Gli honeypot (dall’inglese “barattolo di miele”, NdT) sono, in parole semplici, delle trappole in grado di tendere un agguato agli aggressori imitando un mezzo informatico (ad esempio un servizio, un’applicazione, un sistema o un file). Qualsiasi unità che si collega con l’honeypot è individuata come sospetta. Ogni movimento viene monitorato in modo tale da poter individuare attività potenzialmente pericolose.
Lo studio è la continuazione del recente rapporto ENISA “Proactive Detection of Network Security Incidents”. Il precedente rapporto giungeva alla conclusione che, nonostante i CERT riconoscano negli honeypot uno strumento cruciale per la comprensione dei comportamenti degli hacker, il loro uso nell’ individuare adeguatamente gli attacchi non è ancora così diffuso come ci si aspetterebbe. Questo scarso impiego ha compromesso ogni successiva implementazione.
Il nuovo studio presenta strategie d’implementazione e tratta problematiche rilevanti per i CERT. In totale sono stati testati e valutati 30 honeypot di diverso tipo con il seguente obiettivo: offrire uno sguardo d’insieme circa le soluzioni open source e le tecnologie honeypot che meglio si prestano all’implementazione e all‘applicazione. Poiché non è stata individuata una soluzione generalmente valida, questo nuovo studio ha voluto identificare difetti e problematiche tipiche dell’implementazione degli honeypot: tra queste, la difficoltà di uso, la scarsa documentazione, la mancanza di stabilità del software e di strumenti di supporto per gli sviluppatori, la bassa standardizzazione e la necessità di persone con altissime conoscenze informatiche, nonché la difficoltà nel comprendere i concetti base di honeypot. Lo studio stila inoltre una classifica ed esplora gli scenari futuri degli honeypot.
Il direttore generale di ENISA, il Professore Udo Helmbrecht, ha commentato: “Gli honeypot rappresentano per i CERT un potentissimo strumento in grado di potenziare l’intelligence che fronteggia le minacce informatiche senza alterare l’infrastruttura produttiva. Se implementati correttamente, gli honeypot garantiscono ai CERT considerevoli benefici; le attività maligne nei circuiti CERT possono essere registrate al fine di segnalare tempestivamente virus, nuove attività, vulnerabilità e comportamenti dannosi, oltre a fornire la possibilità di conoscere meglio le tattiche degli hacker.
Pertanto, se in Europa i CERT considerassero maggiormente gli honeypot come una soluzione appetibile, essi potrebbero difendere meglio le risorse dei loro circuiti”.
Il Report Proactive Detection of Security Incidents – Honeypots è disponibile qui