Durante los últimos años, ha ido en aumento un enfoque más proactivo de la seguridad cibernética. En lugar de esperar a que suceda el próximo ciberataque, muchas organizaciones prefieren prevenirse. Buscan activamente los puntos vulnerables en la fachada de su organización de seguridad cibernética y llevan a cabo pruebas de penetración, evaluación de vulnerabilidades y procedimientos similares. Una de las estrategias de seguridad cibernética utilizadas es honeypot, que tiene como objetivo proporcionar una capa adicional de seguridad. En este artículo, discutiremos en detalle qué es honeypot, sus tipos, riesgos y cómo puede ser muy beneficioso para tu empresa.
En este artículo hablamos de:
¿Qué es un Honeypots o sistema trampa?
En terminología informática, el término honeypot se refiere a una estructura o mecanismo de seguridad que se construye para desviar a los atacantes. En otras palabras, un honeypot está ahí para distraer a los atacantes de los valiosos activos de la organización.
Honeypot se puede definir como un sistema que está conectado a la red. Está configurado para ser un señuelo. Atrae a los piratas informáticos y les hace perder el tiempo mientras intentan obtener acceso no autorizado a la red o los sistemas de la organización.
Aunque los honeypots han empezado a ser más usados en los últimos años, existen desde hace bastante tiempo. De hecho, los honeypots pueden considerarse una de las medidas de seguridad más antiguas en la disciplina de la ciberseguridad.
Norton, uno de los gigantes de la seguridad cibernética, define un honeypot de la siguiente manera: “Un honeypot es una computadora o sistema informático destinado a imitar los posibles objetivos de los ataques cibernéticos“.
Esta sencilla definición puede dar una sensación de seguridad y confianza, pero invitar a piratas informáticos a tu red y sistemas puede ser peligroso. Debes estar alerta en todo momento, incluso si el honeypot que atrae a los piratas informáticos es un sistema aislado.
¿Cuáles son sus objetivos?
Los principales objetivos de los sistemas trampa son desviar el tráfico malicioso de los sistemas importantes, recibir una alerta temprana de un ataque actual antes de que se produzcan ataques en los sistemas críticos y recopilar información sobre el atacante y los métodos de ataque.
Al engañar a un ciberdelincuente para que lleve a cabo su ataque en un sistema no crítico y bien supervisado, se puede obtener información valiosa sobre sus métodos de ataque y se puede recopilar información con fines forenses o legales.
Los honeypots tienen como objetivo permitir un análisis detallado de cómo los piratas informáticos hacen su trabajo sucio. El equipo que controla el honeypot tiene acceso a las técnicas que usan los piratas informáticos para infiltrarse en los sistemas, escalar privilegios y, acceder a través de las redes objetivo.
Estos tipos de honeypots son instalados por empresas de seguridad, académicos y agencias gubernamentales que buscan examinar el panorama de amenazas. A los creadores les interesa saber qué tipo de ataques existen, conocer los detalles de su funcionamiento, o incluso intentar atraer a un hacker en particular con la esperanza de rastrear el ataque hasta su origen.
Estos sistemas a menudo se construyen en entornos de laboratorio completamente aislados, lo que garantiza que las infracciones no provoquen que las máquinas que no son honeypot sean víctimas de ataques.
Tipos de Honeypot
Los honeypots varían según el diseño y los modelos de implementación, pero todos son señuelos destinados a parecerse a sistemas legítimos y vulnerables para atraer a los ciberdelincuentes. Veamos los tipos existentes.
Production Honeypot
Estos honeypots sirven como sistemas señuelo dentro de redes y servidores en pleno funcionamiento, a menudo como parte de un sistema de detección de intrusos (IDS). Desvían la atención delictiva del sistema real mientras analizan la actividad maliciosa para ayudar a mitigar las vulnerabilidades.
Research Honeypot
Estos honeypots se utilizan con fines educativos y para mejorar la seguridad. Contienen datos rastreables que puede rastrear cuando son robados para analizar el ataque.
Físico
Un honeypot físico incorpora un ordenador exclusivo para esta función, integrándolo en nuestra red con su propia dirección IP.
Virtual
Un honeypot virtual es un sistema virtualizado dentro de un equipo físico que, a través del software de virtualización, recibe los recursos como si fuera un equipo físico.
De baja interacción
Este tipo de honeypots es muy fácil de construir pero puede parecer “falso” para un hacker. Ejecuta un conjunto reducido de servicios que ejemplifican los vectores de ataque más frecuentes. Imitan los servicios y sistemas que con frecuencia atraen la atención delictiva. Ofrecen un método para recopilar datos de ataques ciegos, como botnets y gusanos, malware.
De alta interacción
Este tipo de honeypots emplea máquinas virtuales para garantizar que los sistemas potencialmente comprometidos estén aislados. Son configuraciones complejas que se comportan como una infraestructura de producción real. No restringen el nivel de actividad de un ciberdelincuente, lo que proporciona información detallada sobre ciberseguridad.
Sin embargo, requieren un mayor mantenimiento y experiencia y el uso de tecnologías adicionales como máquinas virtuales para garantizar que los atacantes no puedan acceder al sistema real.
¿Qué riesgos hay con las Honeypots?
El objetivo de los honeypots es atraer e involucrar a los atacantes durante un período suficientemente largo para obtener indicadores de compromiso de alto nivel, como herramientas de ataque y tácticas, técnicas y procedimientos. Por lo tanto, un honeypot necesita emular los servicios esenciales en la red de producción y otorgar al atacante la libertad de realizar actividades adversas para aumentar su atractivo para el atacante.
Aunque el honeypot proporciona un entorno controlado y supervisado, los atacantes aún pueden utilizar algunos honeypots como nodos pivote para penetrar en los sistemas de producción. Esta compensación entre el atractivo del honeypot y el riesgo de penetración se ha investigado tanto cualitativamente como cuantitativamente.
El segundo riesgo de los honeypots es que pueden atraer a usuarios legítimos debido a la falta de comunicación en las redes empresariales a gran escala. Por ejemplo, el equipo de seguridad que aplica y supervisa el honeypot puede no revelar la ubicación del honeypot a todos los usuarios a tiempo debido a la falta de comunicación o la prevención de amenazas internas.
¿Qué es una red Honeynet?
Una honeynet es una red de señuelos que contiene uno o más honeypots. Parece una red real y contiene varios sistemas, pero está alojado en uno o solo unos pocos servidores, cada uno de los cuales representa un entorno. Por ejemplo, una máquina honeypot Windows, una máquina honeypot Mac y una máquina honeypot Linux.
Un “honeywall” supervisa el tráfico que entra y sale de la red y lo dirige a las instancias de honeypot. Puede inyectar vulnerabilidades en una red trampa para facilitar que un atacante acceda a la trampa.
Cualquier sistema de la Honeynet puede servir como punto de entrada para los atacantes. La Honeynet recopila información sobre los atacantes y los desvía de la red real. La ventaja de una honeynet sobre un honeypot simple es que se siente más como una red real y tiene un área de captación más grande.
Esto hace que las honeynets sea una mejor solución para redes grandes y complejas: presenta a los atacantes una red corporativa alternativa que puede representar una alternativa atractiva a la real.
La diferencia entre honeypot y honeynet es que honeypot es la herramienta global; honeynet un subconjunto de tecnología que establece una amplia interacción con el hacker y está asociada a entornos en los cuales se pretende investigar la naturaleza del ataque más que el entorno en el cual se persigue o emprender acciones legales.
Sistemas Honeypot más conocidos
Hay tantos honeypots como tipos de software en ejecución, por lo que crear una lista definitiva sería bastante difícil. En esta lista hemos incluido algunas de los ejemplos de honeypots más populares.
Honeypots SSH
- Kippo: este honeypot SSH escrito en Python ha sido diseñado para detectar y registrar ataques de fuerza bruta y, lo que es más importante, el historial completo de shell realizado por el atacante. Está disponible para la mayoría de las distribuciones de Linux modernas y ofrece administración y configuración de comandos cli, así como una interfaz basada en web. Kippo ofrece un sistema de archivos falso y la capacidad de ofrecer contenido falso a los atacantes (como archivos de contraseña de usuario, etc.), así como un poderoso sistema de estadísticas llamado Kippo Graph.
- Cowrite: este honeypot SSH de interacción media funciona emulando un shell. Ofrece un sistema de archivos falso basado en Debian 5.0, lo que te permite agregar y eliminar archivos como desees. Esta aplicación también guarda todos los archivos descargados y cargados en un área segura y en cuarentena, para que puedas realizar análisis posteriores si es necesario. Además del shell emulado SSH, se puede utilizar como proxy SSH y Telnet, y le permite reenviar conexiones SMTP a otro honeypot SMTP.
Honeypots HTTP
- Glastopf: este honeypot basado en HTTP permite detectar ataques de aplicaciones web de forma eficaz. Escrito en Python, Glastopf puede emular varios tipos de vulnerabilidades, incluida la inserción de archivos locales y remotos, así como la inyección de SQL (SQLi) y el uso de un sistema de registro centralizado con HPFeeds.
- Nodepot: este honeypot de aplicación web se centra en Node.js, e incluso permite ejecutarlo en hardware limitado como Raspberry Pi / Cubietruck. Disponible en la mayoría de las distribuciones de Linux modernas, su ejecución depende de unos pocos requisitos.
- Google Hack Honeypot: comúnmente conocido como GHH, este honeypot emula una aplicación web vulnerable que los rastreadores web pueden indexar, pero permanece oculta a las solicitudes directas del navegador. El enlace transparente utilizado para este propósito reduce los falsos positivos y evita que se detecte el honeypot. GHH ofrece un archivo de configuración fácil, así como algunas capacidades de registro agradables para obtener información crítica del atacante, como IP, agente de usuario y otros detalles del encabezado.
Honeypots de WordPress
- Honeypot formidable: este es uno de los honeypots más populares utilizados con WordPress. Es literalmente invisible para los humanos; solo los bots pueden caer en su trampa, por lo que una vez que un ataque automatizado entre en tu formulario, será detectado y evitado de manera efectiva. Es una forma no intrusiva de defender WordPress contra el spam. Convenientemente, no requiere ninguna configuración. Simplemente activa el complemento y se agregará a todos los formularios que uses en WordPress, tanto en la versión gratuita como en la pro.
- Blackhole for Bad Bots: Este fue creado para evitar que los bots automatizados usen ancho de banda innecesario y otros recursos del servidor de la infraestructura de tu sitio. Al configurar este complemento, puede detectar y bloquear bots maliciosos, desde ataques de malware automatizados hasta spam y varios tipos de ataques de adware. Este honeypot de WordPress funciona agregando un enlace oculto en el pie de página de todas sus páginas. De esta manera, no es detectado por humanos y solo detecta bots malos que no siguen las reglas de robots.txt. Una vez que se detecta un robot defectuoso, se le bloqueará el acceso a su sitio web.
- Wordpot: este es uno de los honeypots de WordPress más eficaces que puedes utilizar para mejorar la seguridad de WordPress. Te ayuda a detectar señales maliciosas para complementos, temas y otros archivos comunes que se utilizan para realizar huellas digitales en una instalación de wordpress. Escrito en Python, es fácil de instalar, se puede manejar desde la línea de comandos sin problemas e incluye un archivo wordpot.conf para una fácil configuración de honeypot.
Honeypots de base de datos
- ElasticHoney: con Elasticsearch explotado con tanta frecuencia en la naturaleza, nunca es una mala idea invertir en un honeypot creado específicamente para este tipo de base de datos. Este es un honeypot simple pero efectivo que permitirá detectar solicitudes maliciosas que intentan explotar las vulnerabilidades de RCE. Una de las mejores cosas es que esta herramienta honeypot está disponible para los sistemas operativos Windows y Linux.
- HoneyMy sql: este sencillo honeypot de MySQL se crea para proteger las bases de datos basadas en SQL. Escrito en Python, funciona en la mayoría de las plataformas y se puede instalar fácilmente clonando su repositorio de GitHub.
- MongoDB- HoneyProxy: uno de los honeypots de MongoDB más populares, se trata específicamente de un proxy honeypot que puede ejecutar y registrar todo el tráfico malicioso en un servidor MongoDB de terceros. Se requieren Node.js, npm, GCC, g ++ y un servidor MongoDB para que este honeypot de MongoDB funcione correctamente. Se puede ejecutar dentro de un contenedor Docker o cualquier otro entorno de VM.
Honeypots de correo electrónico
- Honeymail: si estás buscando una forma de detener los ataques basados en SMTP, esta es la solución perfecta. Escrito en Golang, este honeypot para correo electrónico permitirá configurar numerosas funciones para detectar y prevenir ataques contra sus servidores SMTP. Sus principales características incluyen: configurar mensajes de respuesta personalizados, habilitar el cifrado StartSSL / TLS, almacenar correos electrónicos en un archivo BoltDB y extraer información del atacante como dominio de origen, país, archivos adjuntos y partes del correo electrónico (HTML o TXT).
- Mailoney: Este es un gran honeypot de correo electrónico escrito en Python. Se puede ejecutar en diferentes modos, como open_relay, postfix_creds y schizo_open_relay.
- SpamHAT: esta trampa está diseñada para atrapar y evitar que el spam ataque cualquiera de tus buzones de correo electrónico.
Honeypots de IOT
- HoneyThing: Creado para Internet de servicios habilitados para TR-069, este honeypot funciona actuando como un módem / enrutador completo que ejecuta el servidor web RomPager y es compatible con el protocolo TR-069 (CWMP). Este honeypot de IOT es capaz de emular vulnerabilidades populares para Rom-0, Misfortune Cookie, RomPager y más. A diferencia de otros, este honeypot ofrece una interfaz basada en web fácil y pulida.
- Kako: la configuración predeterminada ejecutará una serie de simulaciones de servicio para capturar información de ataque de todas las solicitudes entrantes, incluido el cuerpo completo. Incluye servidores Telnet, HTTP y HTTPS. Una vez que estés cubierto con los paquetes requeridos, puedes configurar este honeypot de IOT utilizando un archivo YAML simple llamado kako.yaml. Todos los datos se registran y se exportan a AWS SNS y al formato JSON de archivo plano.