En ciberseguridad existe una terminología llamada Honeypot. Un Honeypot es un sistema informático que actúa como trampa / señuelo para los piratas informáticos, ya que imita un sistema informático legítimo con vulnerabilidades potenciales. El propósito de esto es detectar y registrar intentos de intrusión para obtener información sobre el atacante y las amenazas actualmente presentes hacia una pila de tecnología dada. Además de obtener información sobre piratas informáticos, un Honeypot también se puede utilizar para distraer a los posibles atacantes de otros objetivos de mayor valor.
El honeypot parece un sistema informático real, con aplicaciones y datos, engañando a los cibercriminales para que piensen que es un objetivo legítimo. Por ejemplo, un honeypot podría imitar el sistema de facturación de clientes de una empresa, un objetivo frecuente de ataque para delincuentes que desean encontrar números de tarjetas de crédito. Una vez que los piratas informáticos están dentro, se les puede rastrear y evaluar su comportamiento en busca de pistas sobre cómo hacer que la red real sea más segura.
Los Honeypots se hacen atractivos para los atacantes al incorporar vulnerabilidades de seguridad deliberadas. Por ejemplo, un honeypot puede tener puertos que responden a un escaneo de puertos o contraseñas débiles. Los puertos vulnerables podrían dejarse abiertos para atraer a los atacantes al entorno honeypot, en lugar de la red en vivo más segura.
Existen diferentes tipos de Honeypots que se pueden usar para identificar diferentes tipos de amenazas y todos tienen ciertos pros y contras basados en las necesidades establecidas por el propietario / operador de un Honeypot. Sin embargo, en la mayoría de los casos, un Honeypot no debe usarse como una forma de abordar un problema específico, sino como una forma de recopilar información que pueda ayudarlo a comprender las amenazas actuales hacia una aplicación o negocio.
A medida que las amenazas y el comportamiento de los posibles atacantes se registran y analizan, se pueden tomar medidas defensivas dentro de la aplicación comercial para mitigar los ataques descubiertos a través del Honeypot.
Se podría decir que la información y la actividad maliciosa del usuario también podrían tomarse de los registros de aplicaciones reales, ya que los piratas informáticos también intentarán entrometerse en cada aspecto de ese sistema. Sin embargo, la característica clave de un Honeypot es que el creador puede controlar qué tipo de vulnerabilidades incluir y, por lo tanto, personalizar el honeypot para que se convierta en un objetivo atractivo. Además de esto, los registros de un Honeypot no contendrán actividades de usuario “reales” que podrían cubrir el comportamiento de un atacante debido a la sobrecarga de información al analizar el tráfico que entra y sale del sistema.
Monitoreo de tráfico
Al monitorear el tráfico de red que ingresa al Honeypot, se puede evaluar la siguiente información, entre otras:
- ¿Qué capa de aplicación es de interés?
- ¿Qué datos son de interés?
- ¿Cuál es el origen del atacante? (Proxies, VPN y otras técnicas se pueden utilizar para ocultar esto, así que no siempre tome información como la verdad absoluta)
- ¿Qué herramientas se usan con mayor probabilidad para realizar el ataque?
Dependiendo de qué tipo de información se tiene que monitorear una elección entre las siguientes definiciones.
Diferentes tipos de honeypot y cómo funcionan
Se pueden usar diferentes tipos de honeypot para identificar diferentes tipos de amenazas. Varias definiciones de honeypot se basan en el tipo de amenaza que se aborda. Todos ellos tienen un lugar en una estrategia de ciberseguridad exhaustiva y efectiva.
Las trampas de correo electrónico o las trampas de spam colocan una dirección de correo electrónico falsa en una ubicación oculta donde solo un recolector de direcciones automático podrá encontrarla. Dado que la dirección no se usa para ningún otro propósito que no sea la trampa de spam, es 100% seguro de que cualquier correo que llegue es spam. Todos los mensajes que contienen el mismo contenido que los enviados a la trampa de spam se pueden bloquear automáticamente, y la IP de origen de los remitentes se puede agregar a una lista negra.
Se puede configurar una base de datos señuelo para monitorear vulnerabilidades de software y detectar ataques que exploten la arquitectura insegura del sistema o que usen inyección SQL, explotación de servicios SQL o abuso de privilegios.
Un honeypot de malware imita aplicaciones de software y API para invitar a ataques de malware. Las características del malware se pueden analizar para desarrollar software antimalware o para cerrar vulnerabilidades en la API.
Un honeypot de araña está destinado a atrapar a los webcrawlers (‘arañas’) creando páginas web y enlaces solo accesibles para los rastreadores. La detección de rastreadores puede ayudarlo a aprender cómo bloquear bots maliciosos, así como rastreadores de redes publicitarias.
Al monitorear el tráfico que ingresa al sistema honeypot, puede evaluar:
- de donde vienen los cibercriminales
- el nivel de amenaza
- qué modus operandi están usando
- qué datos o aplicaciones les interesan
- qué tan bien están funcionando sus medidas de seguridad para detener los ataques cibernéticos
Otra definición de honeypot analiza si un honeypot es de alta o baja interacción .
Honeypots de baja interacción
Un honeypot de baja interacción solo recopila información básica sobre el tipo de amenazas presentes. Son fáciles y rápidos de configurar y utilizan menos recursos que un Honeypot de alta interacción. Un honeypot de baja interacción, por lo tanto, en la mayoría de los casos no habrá adjuntado una base de datos o procesos complejos que puedan estimular a un atacante potencial a permanecer por más tiempo y, por lo tanto, intentar una amplia gama de enfoques de ataque.
Honeypots de alta interacción
En comparación con un honeypot de baja interacción, este tipo es mucho más complejo, toma más tiempo configurarlo y utiliza muchos más recursos. Un honeypot de alta interacción debe intentar imitar un sistema real tanto como sea posible y, por lo tanto, debe contener el equilibrio correcto entre los aspectos seguros y las vulnerabilidades que obligarán a un atacante a intentar una amplia gama de ataques. Esto permitirá al propietario / operador obtener una visión más amplia del entorno de amenaza presente en la pila de tecnología utilizada dentro del Honeypot.
Como última nota, es importante mencionar que el entorno de amenazas creado por uno o más Honeypots no representa todas las amenazas posibles hacia un sistema dado. La cantidad de información recopilada tiene una correlación directa con la actividad dirigida al Honeypot. Por lo tanto, nunca debe suponer que una amenaza dada no existe, solo porque no ha sido probada por uno o más atacantes.
Los beneficios de usar honeypots
Honeypots puede ser una buena manera de exponer vulnerabilidades en los principales sistemas. Por ejemplo, un honeypot puede mostrar el alto nivel de amenaza que representan los ataques en dispositivos IoT . También puede sugerir formas de mejorar la seguridad.
Usar un honeypot tiene varias ventajas sobre tratar de detectar intrusiones en el sistema real. Por ejemplo, por definición, un honeypot no debería recibir tráfico legítimo, por lo que cualquier actividad registrada probablemente sea una prueba o un intento de intrusión.
Eso hace que sea mucho más fácil detectar patrones, como direcciones IP similares (o direcciones IP que provienen de un país) que se utilizan para realizar un barrido de red. Por el contrario, estos signos reveladores de un ataque son fáciles de perder en el ruido cuando se observan altos niveles de tráfico legítimo en su red central. La gran ventaja de usar la seguridad honeypot es que estas direcciones maliciosas pueden ser las únicas que ve, lo que hace que el ataque sea mucho más fácil de identificar.
Debido a que los honeypots manejan un tráfico muy limitado, también son recursos livianos. No hacen grandes demandas de hardware; es posible configurar un honeypot usando computadoras viejas que ya no usas. En cuanto al software, hay varios honeypots listos para escribir disponibles en los repositorios en línea, lo que reduce aún más la cantidad de esfuerzo interno que es necesario para poner en funcionamiento un honeypot.
Los honeypots tienen una baja tasa de falsos positivos. Eso está en marcado contraste con los sistemas tradicionales de detección de intrusos (IDS) que pueden producir un alto nivel de alertas falsas. Nuevamente, eso ayuda a priorizar los esfuerzos y mantiene la demanda de recursos de un honeypot en un nivel bajo. (De hecho, al usar los datos recopilados por honeypots y correlacionarlos con otros registros del sistema y firewall, el IDS se puede configurar con alertas más relevantes, para producir menos falsos positivos. De esa manera, los honeypots pueden ayudar a refinar y mejorar otros sistemas de ciberseguridad).
