HoneyPot


Fecha: 20 de abril de 2024



Un Honeypot, más conocido como “sistema trampa” o “señuelo”, está ubicado en una red o sistema informático con el objetivo de aportar información sobre actividades maliciosas y ayudar con esta inteligencia a prevenir un posible ataque al sistema informático.

La función principal de esta herramienta es detectar y obtener información de actividad maliciosa o definitivamente de un ataque informático, y, sobre todo, de dónde procede para posteriormente tomar las medidas de seguridad necesarias.

Actualmente los honeypot son realmente potentes y nos permiten «simular» el comportamiento real de un sistema, haciendo creer a los ciberatacantes que han entrado a un sistema real, y que es fácil hacerse con el control. Sin embargo, estarán en un sistema aislado donde nosotros podremos ver exactamente qué es lo que están haciendo y qué vulnerabilidades están intentando explotar.

A continuación, mencionaremos diferentes opciones como sugerencia para ubicación de una HoneyPot en la red de las organizaciones.

Ubicaciones de los HoneyPot:

  • HoneyPot antes del Firewall: En esta ubicación es en la que menos riesgo se suministra a la red, ya que, al encontrarse fuera de la zona protegida por el Firewall, puede ser atacado sin ningún tipo de peligro para el resto de la red.
  • HoneyPot después del Firewall: En esta ubicación el acceso al Honeypot está dirigido por las reglas de filtrado del firewall, su ubicación permite la detección de los atacantes internos.
  • HoneyPot en la zona desmilitarizada: Esta es una de las mejores ubicaciones, ya que permite detectar ataques externos e internos; para esto se requiere de una reconfiguración del Firewall.

La ubicación final del Honeypot dependerá principalmente de los requerimientos que tenga la organización basándose en los objetivos y metas del negocio.

Ventajas de una HoneyPot :

  • Las HoneyPot son una tecnología con un concepto muy simple y con una fortaleza muy poderosa.
  • Los recursos necesarios a utilizar son mínimos, de esta forma se puede implementar una plataforma lo suficientemente potente para operar a gran escala.
  • Trabaja en entornos sobre IPv6, es decir, el Honeypot detectará un ataque sobre IPv6 de la misma forma que lo hace con un ataque sobre Ipv4.
  • El tráfico cifrado dirigido a los sistemas Honeypot es fácil de analizar.
  • A diferencia de dispositivos como firewalls, IDS o IPS, los honeypots recopilan pocos datos, por lo que son de muy alto valor.

El análisis de los datos recopilados es muy fácil y permite una reacción más rápida. Además, proporcionan información sobre el atacante, como su metodología, sus herramientas e inclusive su propósito y grado de conocimiento.

  • Una HoneyPot permite justificar no solo su valor, sino también el del resto de los otros dispositivos de seguridad, ya que evidencia que las amenazas están presentes y los ataques son constantes.
  • Puede distraer a los atacantes y dar tiempo al personal de TI y seguridad a proteger lo que realmente importa.

Desventajas de una HoneyPot :

  • Tienen un campo de visión estrecho, solo ven aquella actividad que está dirigida contra ellos. Si un atacante irrumpe en una red y ataca una variedad de sistemas, una HoneyPot será inconsciente de la actividad a menos que sea atacado directamente.
  • Los Honeypots pueden llegar a constituir un riesgo potencial para la red, esto debido a la atracción que se genera a los posibles atacantes, es por ello que si no se configura adecuadamente el alcance del Honeypot y se convierte en un entorno controlado y cerrado, puede ser utilizado como punto de inicio para ataques a otras redes o incluso a la misma ubicación de los Honeypots en la red.
  • Un honeypot no es una solución que se configure una vez y se la deje en producción, requiere mantenimiento y supervisión para poder sumar valor a la entidad, así como personal y tiempo dedicado al análisis de ataques recibidos.


Referencias:



Tags:  jails honeypot hackers


Octubre 2024

Crítico
CVE-2024-9264

La CVE-2024-9264 fue descubierta el 26 de septiembre de 2024 y anunciada públicamente el 18 de octubre de 2024, siendo hallada en Grafana, una popular plataforma de visualización de datos. Esta vulnerabilidad permite a los atacantes remotos no autent

Crítico
CVE-2024-21378

En el 2023 investigadores del NetSpi descubrieron una vulnerabilidad remota que afectaba a Microsoft Outlook, la falla identificada como CVE-2024-21378 permitía a los atacantes autenticados ejecutar códigos maliciosos después de la autenticación, sin