Cosa è un HoneyPot?
Un HoneyPot (letteralmente “vasetto di miele”) è un Server Trappola posizionato in rete con molteplici servizi volontariamente vulnerabili e con lo scopo di attrarre attacchi informatici.
L’indirizzo dell’attaccante che avrà mosso un’azione ostile verso l’HoneyPot sarà catalogato ed in base alla gravità dell’attacco verrà bloccato per un periodo di tempo.Lo scopo di un HoneyPot è proprio quello di farsi attaccare ed assegnare una reputazione all’indirizzo IP da cui l’attacco è pervenuto con il fine di bloccarlo preventivamente su tutti gli apparati che beneficiano del servizio-esca.
Come funziona?
- Un attaccante attacca un qualsiasi HoneyPot collocato in uno dei 13 paesi mondiali ove attualmente si trova
2. L’HoneyPot, un server con molteplici servizi volontariamente vulnerabili, comunica l’indirizzo di provenineza dell’attacco ad un gestore globale che si occupa di catalogarne la gravità e bloccare l’indirizzo su tutti i Firewall (e quindi a monte) dei Clienti che hanno aderito al programma. Il gestore globale, inoltre, effettua delle valutazioni incrociando i dati anche con altri servizi pubblici reputazionali.
Le Fonti
Il catalogo globale che viene ripropagato sui firewall e che blocca preventivamente gli indirizzi IP, viene popolato da:
Fonte | Agg. | Descrizione |
Dabbicco HoneyPot | Ogni ora | 13 Server Trappola volontariamente attaccabili sparsi in 13 nazioni differenti. |
Dabbicco GlobalCat DM | Ogni ora | Oltre 20 mail server reali, in grado di raccogliere determinati attacchi sia sui servizi di posta, sia sui servizi web |
Dabbicco GlobalCat WWW | Ogni ora | Oltre 30 server reali in grado di raccogliere determinati attacchi sui servizi web |
Fonte Segreta | Ogni 2h | Fonte NON Pubblica |
Fonte Segreta | Ogni 6h | Fonte non pubblica in grado di raccogliere botnet e proxy con bassa reputazione e da cui sono partiti attacchi. |
Fonte Segreta | Ogni 6h | Fonte non pubblica che, tramite tecnologie di analisi con Intelligenza Artificiale, raccoglie un elenco di IP a bassa reputazione. |
Dalle ultime statistiche elaborate (sempre dicembre 2021), oltre il 70% degli attacchi che in media riceve una rete pubblicamente esposta può essere evitato alla fonte in quanto presente in una di queste liste.
In questo articolo abbiamo provato a fare un esperimento! Clicca qui
Sonde attive
Allo stato attuale sono attive sonde per analizzare:
- attacchi a protocolli industriali
- attacchi a dispositivi mobili, smartphone e IoT
- attacchi a mailserver
- attacchi a webserver
- attacchi a fileserver
- attacchi a server FTP
- attacchi a server SSH/Telnet/RDP
- attacchi basati su CVE note
- attacchi a livello applicativo con remote code execution
- numerose altre sonde
Statistiche in tempo reale
Geolocalizzazione degli attacchi informatici rilevati dalle sonde Dabbicco HoneyPot
Tipologia di attacchi
Nomi utenti utilizzati durante gli attacchi di tipo BruteForce
Gli attacchi di tipo BruteForce mirano ad indovinare le credenziali d’accesso mediante tentativi in cui vengono utilizzati dei dizionari (di credenziali note, spesso scovate da database precedentemente compromessi). In questa rappresentazione grafica, parole più grandi indicano più tentativi utilizzando quello specifico termine.