Questo sito utilizza cookie di terze parti per inviarti pubblicità in linea con le tue preferenze. Se vuoi saperne di più clicca QUI 
Chiudendo questo banner, scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie. OK

Sviluppo di una Honeynet nell'attività di Network Forensics

L'anteprima di questa tesi è scaricabile in PDF gratuitamente.
Per scaricare il file PDF è necessario essere iscritto a Tesionline.
L'iscrizione non comporta alcun costo. Mostra/Nascondi contenuto.

6 Capitolo 1. Introduzione organizzazione, ma il loro tempo di set up e di monitoring potrebbe essere meglio speso dall’azienda rendendo piu` sicuri i propri sistemi. • Rilevazione. Le Honeypot sono strumenti che apportano un grande valore nel campo della ri- levazione. Per la maggior parte delle aziende la rilevazione di un attacco e` molto complicata, in quanto esse si trovano a dover potenzialmente analizzare parecchi Giga byte di log dei sistemi. Anche se gli Intrusion Detection System (IDS) sono soluzioni finalizzate alla rilevazione di attacchi, essi generano parecchi Giga byte di log e soprattutto dei false positive,4 la ricezione di troppi alert puo` pregiudicare la qualita` dell’analisi degli stessi. Un’altro rischio legato agli IDS e` riferito ai false negative.5 Le Honeypot generano anch’esse false positive, ma in maniera minore rispetto ad un IDS e trattano i false negative in maniera efficiente, basandosi sulle attivita` del sistema compromesso. Le Honeypot semplificano il processo di rilevazio- ne in quanto, come gia` accennato in precedenza, tutto il traffico da e verso di essa e` sospetto. • Reazione. Le Honeypot possono aggiungere valore alla risposta agli incidenti quando si verifi- cano due casi: – il primo caso e` relativo al lasso di tempo che intercorre tra la compromissione di un sistema all’interno dell’organizzazione e la sua scoperta; questo intervallo non e` sempre breve e l’attivita` produttiva continua fino alla scoperta dell’evento. In questa fase si assiste ad un inquinamento delle digital evidence riguardanti l’intrusione. Il team che si occupa dell’Incident Response si trova in difficolta` nell’analisi dei sistemi compromessi, in quanto le attivita` svolte dagli utenti dopo la compromissione del sistema si aggiungono alle informazioni relative all’attacco. – il secondo caso riguarda la non possibilita` di mettere off-line i sistemi compro- messi. In queste situazioni bisogna effettuare una live analisys dei sistemi che comporta differenti problemi. Le Honeypot possono essere di aiuto in entrambe le situazioni: esse offrono la pos- sibilia` di analizzare un sistema che presenta dei dati chiari e che puo` essere posto off-line. Ricerca Le Honeypot aggiungono un grande valore alla ricerca offrendo delle piattaforme per stu- diare i pericoli esistenti e per conoscere i metodi degli intrusi. Uno dei migliori modi per conoscere il nemico e` quello di osservarlo all’opera, spiarlo e registrare le sue azioni. Le Honeypot hanno come caratteristica peculiare quella di essere strumenti di ricerca, esse non solo permettono di studiare i comportamenti degli intrusi, ma sono adatte a catturare ed analizzare attacchi automatizzati, come ad esempio worm. Le Honeypot di ricerca non riducono i rischi presenti nell’organizzazione, ma offrono la possibilita` di aumentare la sicurezza, grazie all’esperienza (learn by doing). 4Si definisce “false positive” la generazione da parte dell’IDS di erronei allarmi relativi ad attacchi. 5 si definisce “false negative” la mancanza di rilevamento di un attacco da parte dell’IDS

Anteprima della Tesi di Patrizia Martini

Anteprima della tesi: Sviluppo di una Honeynet nell'attività di Network Forensics, Pagina 8

Laurea liv.I

Facoltà: Scienze Matematiche, Fisiche e Naturali

Autore: Patrizia Martini Contatta »

Composta da 99 pagine.

 

Questa tesi ha raggiunto 2839 click dal 14/06/2004.

 

Consultata integralmente una volta.

Disponibile in PDF, la consultazione è esclusivamente in formato digitale.