(imagen de Jag_cz, a través de Adobe Stock)
Todos en seguridad quieren saber cómo los delincuentes hacen su trabajo … pero todos en seguridad prefieren ver la obra de los ciberdelincuentes mientras destruye la infraestructura informática de otra persona, no la suya. Entender a su adversario es, después de todo, clave para contrarrestar los ataques, pero la mayoría de las organizaciones son reacias a reclutar sus servidores y redes de producción para la investigación.
Entonces se convierten, en cambio, en honeypots.
¿Qué es un honeypot?
Un honeypot es un conjunto de datos o piezas de infraestructura de red que parecen ser componentes de producción legítimos y vulnerables pero que, de hecho, están aislados del resto de la purple. Entonces los atacantes se sienten atraídos por ellos, pero los ataques pueden estudiarse sin poner en peligro la empresa.
Los honeypots han aumentado en importancia a medida que el campo de batalla de ciberseguridad se ha vuelto más dinámico. Rui Lopes, gerente de ingeniería y soporte técnico de Panda Safety, explica que los honeypots son herramientas críticas de «contraespionaje» en ciberseguridad, entregando inteligencia clave sobre los atacantes.
El análisis de la actividad honeypot puede, dice, generar conciencia temprana sobre nuevas formas de ataques. Con eso, «en la period de las amenazas cibernéticas sofisticadas y sin malware, la telemetría de ataque y su análisis se vuelven críticos para personalizar un modelo de protección que se adapte a la organización, sus activos y su estrategia en lugar de un enfoque llave en mano que simplemente no funcionará a largo plazo, «Lopes dice.
Idealmente, un honeypot se aísla, es robusto, se controla fácilmente y se reconstruye fácilmente cuando un delincuente lo compromete con éxito. Para muchas organizaciones, si no la mayoría, la combinación de requisitos se cumple mejor con máquinas virtuales alojadas en un servidor aislado.
Ya sea que el honeypot esté configurado en una máquina digital o en una instancia aislada del sistema operativo físico, la mayoría se configurará con variables, sistemas o aplicaciones ambientales específicas para atraer a delincuentes particulares interesados en objetivos específicos.
Diferentes sabores de miel
Todos los honeypots no son iguales. Tiene sentido, ya que no todos los honeypots tienen el mismo propósito. Si bien cada honeypot está disponible en Internet y es vulnerable a uno o más planes de ataque, la primera bifurcación importante se encuentra entre los honeypots que atienden las necesidades de los equipos de seguridad de TI de producción y los que atienden las necesidades de los investigadores de seguridad.
Los Honeypots establecidos por los equipos de TI de la empresa tienden a tener un propósito directo: recopilan información sobre los ataques que se lanzan contra los sistemas y aplicaciones de la organización. En la mayoría de los casos, eso significa un honeypot configurado dentro del espacio de direcciones de red de la organización, con algunas (o todas) las API y servicios de la organización expuestos a Web.
El objetivo del honeypot empresarial es very simple: permitirá al equipo de seguridad de la empresa ver qué puertos y API están dirigidos con mayor frecuencia, qué combinaciones de nombre de usuario / contraseña se intentan con mayor frecuencia en intentos de relleno de credenciales, dónde se originan los ataques y otros factores de ataque básicos pero críticos. No están destinados a ser dispositivos de investigación abiertos, y en typical no son altamente interactivos. En certain, no están destinados a mantener a los atacantes involucrados durante largos períodos de tiempo a través de trampas altamente interactivas.
Cuando los investigadores de seguridad establecen un honeypot, tienden a tener objetivos muy diferentes a los de los profesionales de seguridad empresarial. Los honeypots de investigación se pueden usar para recopilar datos sobre cepas particulares de malware o vectores de ataque específicos, o pueden proporcionar datos sobre tendencias más generales en seguridad cibernética ofensiva.
En un extremo, los honeypots de investigación pueden tener servicios limitados, puertos o API abiertos a World-wide-web para que sean atractivos para los atacantes que buscan objetivos. En el otro extremo, un honeypot de investigación puede duplicar un servidor empresarial completo, completo con interfaz website, aplicaciones empresariales y una foundation de datos falsa. Estos honeypots de investigación con todas las funciones también pueden ser bastante interactivos, permitiendo al atacante pasar por varias capas de las aplicaciones y servicios con las respuestas apropiadas del honeypot.
Estos honeypots altamente interactivos son bastante más complejos de configurar y monitorear que los honeypots no interactivos o mínimamente interactivos que recopilan datos sobre actividades más limitadas. Más allá del gasto y la complejidad de configurar estos honeypots altamente interactivos, también existe un riesgo. Cuanto más tiempo permanezca un atacante comprometido con un honeypot, es más possible que encuentre una falla que revele que el honeypot es un proyecto de investigación o le permite al atacante acceder a una pink de producción.
Extrayendo datos del honeypot
Construir un gran honeypot no tiene valor si no se devuelven datos útiles al individual de seguridad o al investigador. El proceso de compilación honeypot debe incluir procesos y tecnología para recopilar e informar de forma segura los datos capturados.
La primera capa de recopilación de datos puede provenir de los registros del firewall, IDS u otros componentes de seguridad que se encuentran entre el honeypot e Web. Juntos, proporcionarán información sobre la aplicación y el tráfico de crimson que forman parte de los ataques.
A continuación, los registros del sistema del servidor traerán datos a nivel de sistema a los procedimientos. Además, las herramientas de monitoreo y análisis, como Tripwire, se pueden utilizar para proporcionar registros más detallados del tráfico de la purple y el contenido de los paquetes. El conjunto overall de datos de las diversas fuentes, correlacionado y analizado, proporcionará al equipo de seguridad o a los investigadores la información necesaria para realizar un análisis forense detallado del ataque y sus efectos en el sistema.
Seguridad primero
Cuando un honeypot tiene éxito, un atacante comprometerá sus instalaciones, ya sea un solo puerto o privilegios de administrador completos. El system completo para un honeypot debe incluir los pasos a seguir cuando tenga éxito: cómo recuperar el control del servidor, eliminar cualquier artefacto dejado por el atacante y (lo más importante) evitar que el atacante use el honeypot como el primer paso para violar La crimson empresarial complete.
Los dos primeros se pueden lograr con una «imagen dorada» del honeypot que se puede volver a aplicar al servidor físico o la imagen del servidor en una máquina digital. El tercero se logra mediante un servidor que está en una crimson completamente separada, en un segmento de red lógicamente separado de la pink de producción, y con complete seguridad de crimson entre el honeypot y el resto de la empresa.
Sin embargo, una pregunta muy true es si, cuando se finish la investigación, el equipo de seguridad o el investigador cerrarán el acceso al honeypot de una manera que permita al atacante saber que han sido engañados por un honeypot. En la mayoría de los casos, la mejor solución es mantener al atacante en la oscuridad, apagando el honeypot con un «mantenimiento requerido» o un mensaje comparable que disculpe el cierre por una razón que no tiene que ver con la seguridad.
Hay una gran variedad de paquetes de software package, tanto gratuitos como comerciales para configurar un honeypot. La mayoría de ellos son para honeypots destinados a un objetivo específico, y ninguno de ellos facilita que un novato configure de forma segura un honeypot en una pink de producción o relacionada con ella. Sin embargo, leer la documentación, las páginas de discusión en Github o las conversaciones comunitarias debería ser de gran ayuda para que cualquiera entienda con precisión cómo funciona el honeypot y por qué es una herramienta tan valiosa para los profesionales de la ciberseguridad.
Contenido relacionado:
Curtis Franklin Jr. es editor sénior en Darkish Examining. En este puesto, se centra en la cobertura de productos y tecnología para la publicación. Además, trabaja en programación de audio y video para Darkish Looking through y contribuye a actividades en Interop ITX, Black Hat, INsecurity y … Ver biografía completa
Más strategies
