Escolar Documentos
Profissional Documentos
Cultura Documentos
Abrangência
Um honeypot traz como grande vantagem o fato de ser implementado de forma que todo
o tráfego destinado a ele é, por definição, anômalo ou malicioso. Portanto é, em teoria,
uma ferramenta de segurança isenta de falso-positivos, que fornece informações de alto
valor e em um volume bem menor do que outras ferramentas de segurança, como por
exemplo um IDS.
Aplicabilidade
O valor dos honeypots baseia-se no fato de que tudo o que é observado é suspeito e
potencialmente malicioso, e sua aplicação depende do tipo de resultado que se quer
alcançar.
Já honeypots de alta interatividade são indicados para redes de pesquisa. Podem ser
utilizados para os mesmos propósitos que os honeypots de baixa interatividade, mas
introduzem um alto risco para instituição, e são justificáveis quando o objetivo é estudar
o comportamento dos invasores, suas motivações, além de analisar detalhadamente as
ferramentas utilizadas e vulnerabilidades exploradas.
Além das informações normais como captura de informação de cabeçalho IP, o que
ajuda a determinar de onde o ataque está vindo, quais portas foram usadas e quando a
atividade ocorreu, os Honeypots também coletam informações sobre a identidade dos
atacantes, a língua que eles falam, quais ferramentas utilizaram, como as desenvolveram
e a motivação para o ataque.
Outra grande vantagem do Honeypot é que, como ele não é um sistema que faz parte da
produção, pode ser retirado da rede a qualquer momento para análise dos dados, ou por
motivo de ter sido comprometido, e ser recolocado sem que haja prejuízo para os
sistemas de produção.
Como ele é um sistema isolado, instalado em um computador, ele tem sua capacidade
relativamente limitada, pois não consegue captura dados de um ataque ao seu servidor
Web, por exemplo, nem detectam se existem funcionários que estão roubando arquivos
de sistemas confidenciais, enxergando apenas o que cruza o seu caminho. O Honeypot é
uma ferramenta com a qual os atacantes podem interagir, o que é algo extremamente
arriscado se mal implementado, por isso ele deve atuar como um complemento a outras
soluções existentes, e não como uma ferramenta substituta.