agentia UE ENISA publica un nou raport senzational despre "borcanele cu miere” (honeypot-uri sau "capcane digitale" care detecteaza atacurile informatice)
Agenţia UE ENISA pentru securitate informatică lansează un studiu detaliat despre 30 de "capcane digitale" (honeypot-uri) de diferite tipuri, care pot fi utilizate de către Echipele de Răspuns pentru Incidentele legate de Calculatoare (CERT), inclusiv la nivel naţional şi guvernamental, pentru a detecta din timp atacurile informatice. Studiul identifică problemele în înţelegerea conceptelor de bază legate de honeypot-uri şi recomandă situaţiile în care se utilizează fiecare dintre acestea.
Un număr tot mai mare de atacuri informatice complexe cer din partea echipelor CERT o capacitate sporită de detectare şi alertă rapidă. Honeypot-urile se pot defini, pe scurt, drept capcane destinate exclusiv să atragă atacatorii prin imitarea unei resurse reale de calcul (cum ar fi un serviciu, o aplicaţie, un sistem sau date). Orice entitate care se conectează la un honeypot este considerată suspectă, iar întreaga activitate este monitorizată pentru a detecta programe nocive (malware).
Acest studiu succede un raport recent al agenţiei ENISA despre Detectarea Proactivă a Incidentelor de Securitate a Reţelelor de Calculatoare. Acel raport concluziona că, deşi echipele CERT recunosc că honeypot-urile oferă o perspectivă fundamentală asupra comportamentului hackerilor, nu le utilizează suficient pentru detectarea şi investigarea atacurilor informatice. Concluzia implica existenţa unor bariere legate de implementare.
Noul studiu prezintă strategii practice de implementare şi probleme fundamentale pentru echipele CERT. În total, au fost testate şi evaluate 30 de honeypot-uri de diferite categorii. Obiectivul: descrierea soluţiilor open source şi alegerea tehnologiilor honeypot optime pentru implementare şi utilizare. Deoarece nu există o soluţie unică şi perfectă, acest nou studiu identifică unele deficienţe şi bariere de implementare pentru honeypot-uri: dificultatea de utilizare, documentaţie de slabă calitate, lipsa de stabilitate a programelor şi asistenţă din partea producătorilor acestora, standardizare insuficientă, precum şi necesitatea unui personal calificat sau existenţa unor probleme în înţelegerea conceptelor de bază pentru honeypot-uri. Studiul prezintă, de asemenea, o clasificare a honeypot-urilor şi le explorează perspectivele.
Directorul executiv al agenţiei ENISA, profesorul Udo Helmbrecht a comentat:
"Honeypot-urile oferă echipelor CERT un instrument puternic pentru a colecta informaţii despre posibilitatea unui atac informatic, fără a avea vreun impact negativ asupra infrastructurii de producţie. Implementate corect, honeypot-urile prezintă avantaje considerabile pentru echipele CERT: activitatea programelor malware generate de echipele CERT poate fi urmărită pentru a detecta timpuriu infecţii cu astfel de programe, noi realizări, vulnerabilităţi şi comportamente nocive, oferind de asemenea ocazia de a învăţa despre tacticile atacatorilor. De aceea, dacă echipele CERT din Europa ar recunoaște honeypot-urile ("borcanele cu miere") ca mai mult decât o opţiune, acestea ar putea proteja mai bunurile colectivităţilor pe care le reprezintă".
Găsiți aici raportul complet
Pentru context: COM (2009) 149 şi raportul NATO despre Implicaţiile Legale ale Respingerii Botnet-urilor.
