Me gustaría saber dónde cae un Honeypot en el esquema de seguridad, y si sigue siendo una herramienta eficaz.
Normalmente, una red de malla se usa como una herramienta defensiva y se usa para (capturar) a los atacantes. Está diseñado para engañarlos y hacerles creer que están en un sistema real (aunque la mayoría de los buenos atacantes pueden detectar rápidamente que es un honeypot). Al engañar al atacante, el "dueño de honeypot" espera aprender más sobre los motivos y las técnicas del atacante. El honeypot está diseñado para verse comprometido, pero no debe colocarse en ningún lugar de la infraestructura, de modo que pueda utilizarse como punto de partida o pivote para comprometer aún más el entorno "real".
Mucha gente habla bastante sobre "Defensa en profundidad" y el honeypot es otra faceta de eso y está diseñado para complementar las otras capas. Al igual que los atacantes en evolución, los honeypots también han evolucionado y cambiado (la habitual "carrera de armamentos").
Hablando técnicamente, un honeypot se puede usar como una herramienta ofensiva (con fines educativos) por el cual una persona quiere aprender a atacar y explotar el cuadro, sin embargo, como dije anteriormente, se usa más comúnmente como mecanismo defensivo.
Con respecto a su viabilidad o relevancia hoy, ha habido mucha discusión y definitivamente ha habido problemas con las implementaciones y técnicas de honeypot, pero sigo creyendo que los honeypots son relevantes, una gran fuente de información y, si se utilizan correctamente, pueden mejorar la seguridad. de su entorno.
No me gusta dar enlaces a Wikipedia, pero este one define los honeypots bastante bien.
También recomiendo leer sobre el Proyecto Honeynet , es absolutamente increíble: hacen desafíos fantásticos, devuelven asombrosamente a la comunidad, participan en Google Summer of Code y tiene algunos documentos técnicos impresionantes.