Ya en la antigua China, el célebre estratega militar Sun Tzu dejó escrito en su libro “El arte de la guerra” aquello de “conoce a tu enemigo y conócete a ti mismo y serás invencible”.
En el ámbito de la ciberseguridad, vemos cómo cada día se libra una batalla virtual entre empresas y ciberdelincuentes. Los primeros se presentan en el campo de batalla equipados con numerosas herramientas orientadas al bastionado de aplicaciones, infraestructuras y servicios. Los segundos, por su parte, no cejan en el empeño de asaltar el “castillo” mediante ataques cada vez más sofisticados.
En esta guerra cibernética la estrategia juega un papel fundamental. Al igual que los ciberatacantes realizan labores de reconocimiento mediante escaneos para averiguar las fallas en el sistema de seguridad, los que están al otro lado despliegan algunas trampas con el fin de detectar pautas y comportamientos de los atacantes.
¿Qué es un honeypot?
Estos cebos o trampas no son nuevos. Desde hace tiempo, los honeypots (tarros de miel en su traducción literal) se utilizan como mecanismo de atracción de intrusos para obtener información sobre las técnicas que utilizan en su intento de acceder a los sistemas de información y, llegado el caso, para alertar de un ataque que se esté produciendo.
Los honeypots son servidores expuestos a Internet (también se pueden ubicar en la red interna) con diversos servicios abiertos y sin seguridad habilitada que los hacen atractivos para los atacantes. Son máquinas que están esperando ser atacadas.
Con la nueva generación de herramientas SIEM, es posible integrar los honeypots como una fuente de datos más que reporta los eventos que allí se generan, aportando información de gran valor a los analistas que están al frente de la detección de amenazas.
Los honeypots se pueden desplegar tanto en una máquina física como en una virtual y pueden convivir tantos como se desee. Dependiendo de la complejidad de su configuración nos podemos encontrar con diversos tipos de honeypots. Aquellos más complejos pueden llegar a replicar un entorno de producción, con múltiples servicios expuestos y configurados con datos falsos. Sin embargo, no son éstos los que de forma más habitual nos encontraremos en los entornos de producción. Son los denominados de baja interacción los elegidos para ser desplegados en estos entornos. Se caracterizan porque alojan unos pocos servicios y son fáciles de configurar y de mantener.
Conclusión
En definitiva, podemos concluir que los honeypots, además de su función principal como cebo para atraer a los atacantes, cumplen con otros tres roles:
- Sirven de altavoz para alertar de un posible ataque. Aquí resulta fundamental la integración con el SIEM ya que a través de éste se recibirá la alerta de que algo está pasando de forma inmediata.
- Pueden ralentizar la acción de los atacantes al estar éstos enfrascados en comprometer esa máquina, dando tiempo para reaccionar y adoptar las medidas de respuesta oportunas. El tiempo que se ganará dependerá del grado de complejidad con el que se haya configurado el honeypot.
- Por último, se podrá utilizar el honeypot como instrumento de entrenamiento para los equipos de ciberseguridad. Éstos podrán lanzar escaneos para poner a prueba la detección de intrusiones y entrenar la respuesta ante situaciones similares en un entorno real.
El coste de implementación de un honeypot suele ser reducido. Incluso, algunas soluciones SIEM lo incorporan dentro de su paquete de herramientas. El retorno que ofrecen en comparación con la inversión que requieren lo convierten en una herramienta muy interesante.
El equipo de analistas del SOC de Global Technology tiene amplia experiencia en el despliegue y configuración de estas herramientas. Global Technology puede ayudarte a implementar el honeypot que mejor se adapte al entorno de tu organización.
Responsable de SOC en Global Technology