Un honeypot è un sistema informatico — server, servizio, credenziale o documento — deliberatamente progettato per sembrare un target legittimo e attraente, ma il cui scopo reale è rilevare, attirare e studiare gli attaccanti. Qualsiasi interazione con un honeypot è per definizione sospetta: nessun utente legittimo ha motivo di accedervi. Questa proprietà — assenza totale di falsi positivi per traffico legittimo — rende l’honeypot uno strumento di rilevamento con un rapporto segnale/rumore eccezionale rispetto a sistemi come IDS o SIEM.
Classificazione
Per livello di interazione:
Low-interaction: emula superficialmente servizi (SSH, HTTP, SMB) senza un sistema operativo reale. Raccoglie IP, credenziali tentate e pattern di attacco con rischio quasi nullo — l’attaccante non può eseguire codice reale. Facile da deployare in scala. Esempi: Cowrie (SSH/Telnet), Dionaea (protocolli di rete multipli).
High-interaction: un sistema reale (VM o container) con sistema operativo e servizi funzionanti. L’attaccante può effettivamente comprometterlo, permettendo l’osservazione di tecniche post-exploitation, malware e movimenti laterali in dettaglio. Rischio più elevato: un honeypot high-interaction mal isolato può diventare una testa di ponte per attacchi ad altri sistemi. Richiede contenimento rigoroso.
Per posizionamento:
Honeypot di produzione: deployato nella rete aziendale per rilevare attività di ricognizione interna e movimento laterale. Un server con nome suggestivo (backup-server, payroll-db) che non dovrebbe mai ricevere connessioni: qualsiasi accesso segnala un attaccante già dentro la rete o un insider threat.
Honeypot di ricerca: ambienti isolati usati da team di sicurezza e vendor per raccogliere campioni di malware, studiare nuove tecniche di attacco e produrre threat intelligence.
Honeytoken e honeycredential
L’approccio honeypot si estende a oggetti digitali non necessariamente sistemi interi:
Honeytoken: documento, record di database o file che non ha mai motivo di essere acceduto. Se viene letto, un alert si attiva immediatamente. Esempio: un record fasullo in un database clienti con un’email monitorata — se quell’email riceve un contatto, il database è stato esfiltrato.
Honeycredential: credenziali false inserite in un password manager, file di configurazione o repository. Se vengono usate per autenticarsi, l’organizzazione sa che le credenziali sono state rubate e il vettore probabile (qual era il file compromesso).
Canary token: implementazione pratica degli honeytoken, resa accessibile da servizi come canarytokens.org. Genera URL, file Word, immagini o DNS record che, quando aperti, notificano il proprietario con IP e timestamp. Usati per rilevare apertura di documenti esfiltrati o accesso a risorse interne.
Deception technology
La deception technology è l’evoluzione enterprise degli honeypot: piattaforme come Attivo Networks (ora parte di SentinelOne), Illusive Networks o Acalvio deployano automaticamente decoy — credenziali false, share di rete fasulli, record DNS esca, sessioni RDP artificiali — distribuiti su tutta la rete per intercettare qualsiasi movimento laterale. L’attaccante, durante la fase di ricognizione interna, si imbatte inevitabilmente in un decoy e si autoidentifica.
Limiti
Un honeypot non protegge i sistemi reali — rileva. La sua utilità è condizionata alla capacità di rispondere rapidamente agli alert generati: un honeypot non monitorato è inutile. Inoltre, attaccanti esperti usano tecniche di fingerprinting per identificare e aggirare honeypot noti (banner non standard, servizi emulati imperfettamente, assenza di traffico legittimo storico).