¿Por qué no se implementan ampliamente los honeypots?

Los honeypots son "Seguridad por oscuridad" cuando se emplean para atrapar información privilegiada. Una vez que se sabe lo que es el honeypot, ya no es efectivo.

Por otra parte, los honeypots empleados para capturar usuarios externos que han obtenido acceso de forma interna pueden ser muy útiles (los uso todo el tiempo). En este caso, puede dar a conocer la existencia del honeypot a los usuarios internos para que cualquier actividad en el honeypot sea sospechosa.

Los problemas legales ahuyentan a las personas (lea el enlace de HexTitan), los honeypots pueden generar grandes cantidades de falsos positivos (lo que los hace potencialmente costosos de administrar), y deben diseñarse con cuidado para que no se conviertan en activos del atacante.

Todos estos problemas combinados han surgido cuando sugiero emplear honeypots en mis organizaciones. He contrarrestado con éxito los argumentos, pero la resistencia siempre ha sido enorme.

En resumen: el término "honeypot" es un término amplio, y la confusión y la ambigüedad como resultado de la vaguedad dan lugar a la resistencia de la gerencia a utilizar honeypots, en general.

Hay aspectos legales de los honeypots que deben ser considerados. Aquí es un artículo mucho más antiguo, pero proporciona alguna información En general, por lo que he visto, la industria se ha alejado de los honeypots.

Por un lado, su efectividad no se ha establecido en una escala lo suficientemente grande como para ser de utilidad para las empresas. En segundo lugar, las legalidades han hecho difícil su ejecución. Por ejemplo, Super DMCA impidió que LaBrea Tarpit se adoptara ampliamente.

Eso no significa que los honeypots no tengan su lugar, o que no puedan ser efectivos, pero su uso debe sopesarse con el problema que se está resolviendo y las leyes en el lugar donde se están ejecutando.