Es posible que hayas escuchado el término «honeypot» de vez en cuando en ámbito de la seguridad informática. Y puedes preguntarte qué es un honeypot y qué papel desempeña en la industria de la seguridad.
Honeypots no son una idea nueva. Han sido parte del mundo de la ciberseguridad durante décadas. Pero se están convirtiendo en un elemento cada vez más importante para gestionar vulnerabilidades.
Eso es por un par de razones.
Los Honeypots ofrecen datos del mundo real sobre los tipos de amenazas que enfrentan las empresas, y pueden ser una poderosa herramienta de investigación para identificar vectores de amenazas específicos. En un contexto en el que solo el 12% de los profesionales de seguridad están seguros de que sus empresas pueden responder a los ataques digitales, la identificación de estos vectores específicos permite a las empresas dedicar recursos para derrotar las amenazas más peligrosas que enfrentan.
Los honeypots también han aumentado en popularidad debido a un aumento simultáneo en las técnicas adversas de ciberseguridad, como las pruebas de penetración. En lugar de depender de sistemas generales de protección pasiva, los administradores de red ahora buscan probar su ciberseguridad en situaciones dinámicas de la vida real. Honeypots puede ser una herramienta muy efectiva en estas situaciones.
A continuación hay una guía simple pero práctica que cubre los tipos básicos de honeypots, así como cómo y por qué ayudan a los investigadores a analizar el malware.
Sin más, ¡vamos a ello!
Indice
¿Qué es un honeypot?
Un honeypot, en el mundo de la seguridad de Internet, es un sistema real o simulado diseñado para atraer ataques sobre sí mismo.
Esencialmente, son máquinas virtuales o físicas que están abiertas al mundo real mientras hacen alarde de sus vulnerabilidades previstas.
Honeypots se hizo popular en medio de la amplia propagación de gusanos a fines de la década de 1990 y principios de 2000. El objetivo principal de estas trampas era capturar y analizar ataques para mejorar las defensas contra intrusiones maliciosas.
Un honeypot es esencialmente un sistema «falso» que se parece a uno real.
La idea básica es que un pirata informático desplegará su ataque contra el honeypot falso en lugar de los sistemas reales. Si esto sucede, la compañía que ha implementado el honeypot puede obtener información sobre los tipos de herramientas, tácticas y procedimientos que utiliza el pirata informático e incluso obtener una advertencia avanzada de un ataque en sus sistemas reales.
Tipos
Hay dos categorías amplias de honeypots disponibles hoy, alta interacción y baja interacción.
Estas categorías se definen en función de los servicios, o nivel de interacción, proporcionados por el honeypot a los posibles piratas informáticos.
Alta interacción
Los honeypots de alta interacción hacen que el hacker pueda interactuar con el sistema igual que lo haría con cualquier sistema operativo normal, con la finalidad de recopilar la máxima cantidad de información sobre las técnicas del atacante. Cualquier comando o aplicación que un usuario final esperaría que esté instalado está disponible y, en general, existe poca o ninguna restricción sobre lo que el hacker puede hacer una vez que comprende el sistema.
Baja interacción
Por el contrario, honeypots de baja interacción presentan los servicios emulados por hackers con un subconjunto limitado de la funcionalidad que esperarían de un servidor, con la intención de detectar fuentes de actividad no autorizada.
Por ejemplo, el servicio HTTP en un honeypot de baja interacción solo admitiría los comandos necesarios para identificar que se está intentando un exploit conocido.
Interacción media
Algunos autores clasifican una tercera categoría, honeypots de interacción media, como proporcionando una interacción expandida de honeypots de baja interacción pero menos que los sistemas de alta interacción. Un honeypot de interacción media tendrá capacidad para aplicar más completamente el protocolo HTTP para simular la implementación de un proveedor conocido.
Sin embargo, no hay implementaciones de honeypots de interacción media y para los propósitos de este artículo, la definición de honeypots de baja interacción captura la funcionalidad de los honeypots de interacción media en el sentido de que solo proporcionan una implementación parcial de los servicios y no permiten la típica interacción completa con el sistema como honeypots de alta interacción.
Los especialistas en marketing por correo electrónico y los bloggers a menudo recurren a honeypots de correo no deseado que están diseñados para emular transmisiones de correo electrónico.
Si un pirata informático es engañado para que crea que este honeypot es un verdadero relevo, intentarán utilizarlo para enviar una avalancha de correo no deseado. El honeypot se puede usar para detectar este ataque y luego bloquear el ataque real.
Beneficios
Los Honeypots son una parte integral de la mayoría de los sistemas contemporáneos de ciberseguridad y, como tal, las muchas ventajas de usarlos se comparten con otras formas de detección y protección de amenazas.
Las grandes compañías pueden usarlos para probar vulnerabilidades, fortalecer sus sistemas de respaldo o detectar ataques continuos. Las empresas más pequeñas los utilizan para incrementar la seguridad de su web, proteger los datos personales y aumentar su reputación al tomarse en serio la ciberseguridad.
Más allá de estas ventajas generales, los honeypots confieren un nivel de análisis detallado de amenazas que es imposible utilizando un software de análisis de ciberseguridad más general. Funcionan como una potente herramienta para mitigar y solucionar los ataques que ya se están realizando, ya que un atacante puede quedarse atascado tratando de resolver si un honeypot es real.
Los honeypots también son útiles para detectar nuevos tipos de amenazas.
Como no se basan en firmas de ataque conocidas, a menudo pueden proporcionar advertencia de día cero de posibles vulnerabilidades de seguridad.
A diferencia de los sistemas de detección de intrusos, un usuario no necesita actuar de forma sospechosa para activar una advertencia de que un sistema ha sido comprometido. El solo hecho de que alguien esté hurgando en un honeypot es suficiente para identificarlo como una amenaza.
Finalmente, los honeypots también son útiles para evaluar las respuestas administrativas a los ataques cibernéticos.
Dado que pueden usarse para emular sistemas corporativos completos, pueden usarse como parte de pruebas de penetración sin el riesgo de comprometer datos «reales». Esto permite a las empresas ejecutar simulaciones a gran escala de ataques cibernéticos y evaluar si tienen la experiencia y los sistemas necesarios para responder a ellos.
Ventajas y desventajas generales
Honeypots ofrece varias ventajas sobre otras soluciones de seguridad, incluidos los sistemas de detección de intrusos en la red:
- Menos falsos positivos ya que ningún tráfico legítimo usa honeypot
- Recopila conjuntos de datos más pequeños y de mayor valor, ya que solo registran actividades ilegítimas
- Trabaja en entornos encriptados
- No requieren firmas de ataque conocidas
Sin embargo, los Honeypots no son perfectos:
- Puede ser utilizado por el atacante para atacar otros sistemas
- Solo supervisa las interacciones realizadas directamente con el honeypot: el honeypot no puede detectar ataques contra otros sistemas
- Potencialmente puede ser detectado por el atacante
Las soluciones de seguridad tradicionales, como los sistemas de detección de intrusos, pueden no ser suficientes a la luz de ataques más complicados. Los Honeypots proporcionan un mecanismo para detectar nuevos vectores de ataque, incluso en entornos cifrados.
Los avances como la virtualización han hecho que los honeypots sean aún más efectivos. Sin embargo, los honeypots tienen inconvenientes, por lo que es importante comprender cómo funcionan para maximizar su efectividad.
Tendencias actuales
En esta sección, discutimos la tendencia a agrupar honeypots en honeynets o honeyfarms. Luego se introducen Shadow Honeypots y honeypots distribuidos, ambas tecnologías de vanguardia.
Honeynets y Honeyfarms
Honeynets y honeyfarms son los nombres dados a grupos de honeypots. Los honeypots agrupados proporcionan muchas sinergias que ayudan a mitigar muchas de las deficiencias de los honeypots tradicionales.
Por ejemplo, los honeypots a menudo restringen el tráfico saliente para evitar atacar nodos no honeypot. Sin embargo, esta restricción permite que un atacante identifique los honeypots al usar honeyfarms como puntos de redireccionamiento para el tráfico saliente de cada honeypot individual. Estos nodos de redireccionamiento también se comportan como víctimas reales.
Honeypots de las Sombras
Los honeypots de sombra son una combinación de honeypots y sistemas de detección de anomalías (ADS), que son otra alternativa a los sistemas de detección de intrusos basados en reglas.
Shadow honeypots es el primer segmento de tráfico anómalo del tráfico regular. El tráfico anómalo se envía a un honeypot oculto, que es una instancia de un servicio legítimo. Si el honeypot oculto detecta un ataque, se descartan los cambios en el estado del honeypot. Si no, la transacción y los cambios se manejan correctamente.
Aunque los honeypots de sombra requieren más sobrecarga, son ventajosos porque pueden detectar ataques supeditados al estado del servicio.
Honeypots distribuidos
Una desventaja de los honeypots es que deben ocupar una gran parte del espacio de direcciones para ser eficiente y útil.
Proporcionar un marco distribuido para la computación grid en el que los hosts legítimos redirigen a los usuarios sospechosos a un único honeypot utiliza una alternativa en la que cada cliente es responsable de una única dirección IP no utilizada. El tráfico del cliente se redirige de forma anónima a través de la red Tor a una colección de honeypots centrales.
Honeyfarms, honeynets y honeypots distribuidos abordan la necesidad de monitorizar un gran conjunto de direcciones de red para que un honeypot sea efectivo. La agrupación de honeypots también puede agregar funcionalidad a los honeypots al permitir operaciones como el tráfico saliente simulado.
Problemas éticos relacionados con Honeypots
El uso de honeypots es un tema muy controvertido y, aunque se considera legal su uso, ¿son éticos realmente?
Algunos expertos consideran que los honeypots son una causa de atrapamiento y, aunque esto no es un problema legal, no significa que la forma en que un honeypot atrae a los atacantes sea poco ético. El argumento es que, dado que es poco ético e ilegal atraer a alguien para que robe un objeto, ¿por qué es legal o ético atraer a una persona para que cometa un delito informático?
Otros expertos consideran que los honeypots no solo son poco éticos, sino una desventaja para el mundo de los ordenadores, ya que en esencia están «construyendo el mejor hacker» porque cada vez más hackers se entrenan para estar al tanto de los honeypots y trabajar alrededor de ellos, lo que hace que los sistemas seguros sean difíciles.
Por otro lado, algunos expertos en seguridad de sistemas expresan su opinión sobre la premisa de que los honeypots simplemente usan el enfoque «Ataque primero, antes de ser atacado». Rastrear a un intruso en un honeypot revela conocimientos invaluables sobre las técnicas de ataque y, en última instancia, los motivos para que los sistemas de producción puedan estar mejor protegidos. Puedes conocer las vulnerabilidades antes de que sean explotadas.
En muchos casos, el uso de honeypot no se puede etiquetar como poco ético debido a sus aparentes ventajas. En algunos sistemas, se sabe que los honeypots contienen y combaten virus informáticos.
Se acepta universalmente que el pirateo es ilegal y poco ético, pero ¿los hackers merecen ser atraídos por honeypots que provocan estos crímenes en Internet?
Esta pregunta no es sencilla de responder, por lo tanto, la ética de la utilización de honeypots seguirá siendo un asunto cuestionado.
Dónde encontrar las instrucciones de instalación de honeypot
Vamos a centrarnos en la estrategia que necesitamos para aplicar con éxito un honeypot en la red en lugar de la instalación real paso a paso de las propias soluciones de software.
Nuestras recomendaciones son:
- Windows: para la mayoría del mundo, este es el sistema operativo (SO) de elección. Y en Analytical Security, puedes configurar un honeypot para este sistema operativo e incorporar la nube (Amazon AWS) en tu red.
- Linux: este es un buen sitio que muestra cómo se instala un honeypot en ese entorno de SO.
Por supuesto, en el mundo actual de tutoriales de YouTube, canales y comunidades digitales en línea como GitHub, realmente no es tan difícil instalar un honeypot. Es la estrategia y la gestión que realmente es la parte desafiante.
¿Cuáles son las mejores soluciones de software honeypot que existen?
Para cualquiera que esté buscando, hay una gran variedad de soluciones de software para elegir cuando se trata de soluciones honeypot.
A continuación, tenemos tres de los más populares entre los que puedes elegir:
Sensor KF
Este es un honeypot basado en Windows que comienza a monitorizar tu red tan pronto como se ha configurado. Es un conjunto de herramientas completo que fue diseñado para imitar un honeypot, entre muchas otras características útiles.
Pero, el carácter entrañable de este sistema de detección de intrusiones ( IDS ) basado en host es que es altamente configurable, lo que facilita a los administradores la defensa de sus redes individuales.
Glastopf
Lo mejor de este honeypot es que es una solución de software de código abierto, lo que significa que, como todas las soluciones de colaboración, es el trabajo intelectual de muchos expertos que también continuarán evolucionando y mejorando con el tiempo.
Glastopf es una aplicación web Python honeypot que es un emulador de red de baja interacción. Una característica interesante de esta herramienta es que incluso puede emular aplicaciones que son vulnerables a los ataques de inyección SQL .
Ghost USB
Lo que hace que este honeypot se destaque es que enfoca específicamente su atención en el malware que se propaga a través de dispositivos de almacenamiento USB. Esto es un gran problema teniendo en cuenta que las unidades USB utilizadas por los empleados y usuarios autorizados siguen causando serias preocupaciones.
Una vez instalado, Ghost USB emula un dispositivo de almacenamiento USB y se transmite a través de la red, con la intención de engañar a cualquier malware, que se propaga usando dispositivos similares, para infectarlo. Una vez detectado, y observado en secreto, es fácil para los administradores tomar las medidas y precauciones necesarias.