stringtranslate.com

Honeypot (informática)

En terminología informática, un honeypot es un mecanismo de seguridad informática configurado para detectar, desviar o, de alguna manera, contrarrestar los intentos de uso no autorizado de los sistemas de información . Por lo general, un honeypot consiste en datos (por ejemplo, en un sitio de red) que parecen ser una parte legítima del sitio que contiene información o recursos de valor para los atacantes. En realidad, está aislado, monitoreado y es capaz de bloquear o analizar a los atacantes. Esto es similar a las operaciones encubiertas de la policía , coloquialmente conocidas como "cebo" para un sospechoso. [1]

El principal uso de este señuelo de red es distraer a los posibles atacantes de información y máquinas más importantes en la red real, aprender sobre las formas de ataques que pueden sufrir y examinar dichos ataques durante y después de la explotación de un honeypot. Proporciona una forma de prevenir y ver vulnerabilidades en un sistema de red específico. Un honeypot es un señuelo utilizado para proteger una red de ataques presentes o futuros. [2] [3] Los honeypots derivan su valor del uso por parte de los atacantes. Si no se interactúa con el honeypot, tiene poco o ningún valor. Los honeypots se pueden utilizar para todo, desde ralentizar o detener ataques automatizados, capturar nuevos exploits, hasta recopilar inteligencia sobre amenazas emergentes o alertas y predicciones tempranas. [4]

Diagrama de un honeypot de un sistema de información

Tipos

Los honeypots se pueden diferenciar en función de si son físicos o virtuales: [2] [3]

Los honeypots se pueden clasificar en función de su implementación (uso/acción) y de su nivel de participación. Según su implementación, los honeypots se pueden clasificar en: [5]

Los honeypots de producción son fáciles de usar, capturan solo información limitada y son utilizados principalmente por corporaciones. Los honeypots de producción se colocan dentro de la red de producción con otros servidores de producción por una organización para mejorar su estado general de seguridad. Normalmente, los honeypots de producción son honeypots de baja interacción, que son más fáciles de implementar. Brindan menos información sobre los ataques o atacantes que los honeypots de investigación. [5]

Los honeypots de investigación se utilizan para recopilar información sobre los motivos y las tácticas de la comunidad de hackers que atacan a distintas redes. Estos honeypots no agregan valor directo a una organización específica; en cambio, se utilizan para investigar las amenazas que enfrentan las organizaciones y para aprender cómo protegerse mejor contra ellas. [6] Los honeypots de investigación son complejos de implementar y mantener, capturan una gran cantidad de información y son utilizados principalmente por organizaciones de investigación, militares o gubernamentales. [7]

Según criterios de diseño, los honeypots se pueden clasificar en: [5]

Los honeypots puros son sistemas de producción completos. Las actividades del atacante se monitorean mediante un bug tap que se ha instalado en el enlace del honeypot a la red. No es necesario instalar ningún otro software. Si bien un honeypot puro es útil, se puede garantizar el sigilo de los mecanismos de defensa mediante un mecanismo más controlado.

Los honeypots de alta interacción imitan las actividades de los sistemas de producción que alojan una variedad de servicios y, por lo tanto, se puede permitir que un atacante tenga muchos servicios para perder el tiempo. Al emplear máquinas virtuales , se pueden alojar múltiples honeypots en una sola máquina física. Por lo tanto, incluso si el honeypot se ve comprometido, se puede restaurar más rápidamente. En general, los honeypots de alta interacción brindan más seguridad al ser difíciles de detectar, pero son costosos de mantener. Si no hay máquinas virtuales disponibles, se debe mantener una computadora física para cada honeypot, lo que puede ser exorbitantemente costoso. Ejemplo: Honeynet .

Los honeypots de baja interacción simulan únicamente los servicios solicitados con frecuencia por los atacantes. [8] Dado que consumen relativamente pocos recursos, se pueden alojar fácilmente varias máquinas virtuales en un sistema físico, los sistemas virtuales tienen un tiempo de respuesta corto y se requiere menos código, lo que reduce la complejidad de la seguridad del sistema virtual. Ejemplo: Honeyd . Este tipo de honeypot fue uno de los primeros tipos que se crearon a finales de los noventa y se utilizó principalmente para detectar ataques, no para estudiarlos. [9]

Sugarcane es un tipo de honeypot que se hace pasar por un proxy abierto. [10] A menudo puede tomar la forma de un servidor diseñado para parecerse a un proxy HTTP mal configurado. [11] Probablemente el proxy abierto más famoso fue la configuración predeterminada de sendmail (antes de la versión 8.9.0 en 1998) que reenviaba correo electrónico hacia y desde cualquier destino. [12]

Tecnología de engaño

Recientemente, ha surgido un nuevo segmento de mercado llamado tecnología de engaño que utiliza tecnología honeypot básica con la incorporación de automatización avanzada para lograr una mayor escala. La tecnología de engaño aborda la implementación automatizada de recursos honeypot en una gran empresa comercial o institución gubernamental. [13]

Honeypots de malware

Los honeypots de malware son señuelos diseñados para atraer intencionalmente software malicioso. Lo hacen imitando un sistema o red vulnerable, como un servidor web. El honeypot está configurado intencionalmente con fallas de seguridad que buscan invitar a estos ataques de malware. Una vez atacado, los equipos de TI pueden analizar el malware para comprender mejor de dónde proviene y cómo actúa. [14]

Versiones spam

Los spammers abusan de recursos vulnerables como los servidores proxy y los retransmisores de correo abiertos . Se trata de servidores que aceptan correo electrónico de cualquier persona en Internet (incluidos los spammers) y lo envían a su destino. Algunos administradores de sistemas han creado programas trampa que se hacen pasar por estos recursos abusivos para descubrir la actividad de los spammers.

Estos honeypots ofrecen varias posibilidades a los administradores, y la existencia de estos sistemas falsos y abusivos hace que el abuso sea más difícil o riesgoso. Los honeypots pueden ser una poderosa contramedida contra el abuso por parte de quienes dependen de un volumen muy alto de abuso (por ejemplo, los spammers).

Estos honeypots pueden revelar la dirección IP del abusador y proporcionar captura masiva de spam (lo que permite a los operadores determinar las URL de los spammers y los mecanismos de respuesta). Como lo describe M. Edwards en ITPRo Today:

Por lo general, los spammers prueban un servidor de correo para detectar la retransmisión abierta simplemente enviándose a sí mismos un mensaje de correo electrónico. Si el spammer recibe el mensaje de correo electrónico, el servidor de correo obviamente permite la retransmisión abierta. Sin embargo, los operadores de honeypot pueden utilizar la prueba de retransmisión para frustrar a los spammers. El honeypot captura el mensaje de correo electrónico de prueba de retransmisión, devuelve el mensaje de correo electrónico de prueba y, posteriormente, bloquea todos los demás mensajes de correo electrónico de ese spammer. Los spammers continúan utilizando el honeypot antispam para enviar spam, pero el spam nunca se entrega. Mientras tanto, el operador del honeypot puede notificar a los ISP de los spammers y hacer que sus cuentas de Internet se cancelen. Si los operadores del honeypot detectan spammers que utilizan servidores proxy abiertos, también pueden notificar al operador del servidor proxy que bloquee el servidor para evitar un mayor uso indebido. [15]

La fuente aparente puede ser otro sistema mal utilizado. Los spammers y otros abusadores pueden utilizar una cadena de sistemas mal utilizados para dificultar la detección del punto de partida original del tráfico malicioso.

Esto en sí mismo es un indicador del poder de los honeypots como herramientas antispam . En los primeros tiempos de los honeypots antispam, los spammers, que no se preocupaban demasiado por ocultar su ubicación, se sentían seguros al probar vulnerabilidades y enviar spam directamente desde sus propios sistemas. Los honeypots hicieron que el abuso fuera más riesgoso y más difícil.

El spam sigue circulando a través de los relés abiertos, pero el volumen es mucho menor que en 2001-02. Aunque la mayor parte del spam se origina en los EE.UU., [16] los spammers saltan a través de relés abiertos a través de fronteras políticas para ocultar su origen. Los operadores de honeypots pueden utilizar pruebas de relés interceptados para reconocer y frustrar los intentos de retransmitir spam a través de sus honeypots. "Frenar" puede significar "aceptar el spam de retransmisión pero negarse a entregarlo". Los operadores de honeypots pueden descubrir otros detalles sobre el spam y el spammer examinando los mensajes de spam capturados.

Los honeypots de retransmisión abierta incluyen Jackpot, escrito en Java por Jack Cleaver; smtpot.py , escrito en Python por Karl A. Krueger; [17] y spamhole, escrito en C. [18] El Bubblegum Proxypot es un honeypot de código abierto (o "proxypot"). [19]

Trampa de correo electrónico

Una dirección de correo electrónico que no se utiliza para ningún otro fin que no sea el de recibir correo basura también puede considerarse una trampa de spam. En comparación con el término " trampa de spam ", el término "trampa de spam" podría ser más adecuado para los sistemas y técnicas que se utilizan para detectar o contraatacar las sondas. Con una trampa de spam, el correo basura llega a su destino de forma "legítima", exactamente como llegaría un correo electrónico que no fuera spam.

Una amalgama de estas técnicas es el Proyecto Honey Pot , un proyecto distribuido de código abierto que utiliza páginas honeypot instaladas en sitios web de todo el mundo. Estas páginas honeypot difunden direcciones de correo electrónico de trampas de spam con etiquetas exclusivas y, a continuación, se puede rastrear a los spammers ; el correo spam correspondiente se envía posteriormente a estas direcciones de correo electrónico de trampas de spam. [20]

Honeypot de base de datos

Las bases de datos suelen ser atacadas por intrusos que utilizan la inyección SQL . Como los firewalls básicos no reconocen estas actividades, las empresas suelen utilizar firewalls de bases de datos para protegerse. Algunos de los firewalls de bases de datos SQL disponibles proporcionan/soportan arquitecturas honeypot para que el intruso se ejecute contra una base de datos trampa mientras la aplicación web sigue funcionando. [21]

Sistemas de control industrial honeypot

Los sistemas de control industrial (ICS) suelen ser el objetivo de ciberataques. [22] Uno de los principales objetivos dentro de los ICS son los controladores lógicos programables . [23] Para comprender las técnicas de los intrusos en este contexto, se han propuesto varios honeypots. Conpot [24] [25] es un honeypot de baja interacción capaz de simular PLC de Siemens. HoneyPLC es un honeypot de interacción media que puede simular Siemens, Rockwell y otras marcas de PLC. [26] [27]

Detección de honeypot

Así como los honeypots son armas contra los spammers, los sistemas de detección de honeypots son contraarmas empleadas por los spammers. Como los sistemas de detección probablemente utilizarían características únicas de honeypots específicos para identificarlos, como los pares de propiedades y valores de la configuración predeterminada del honeypot, [28] muchos honeypots en uso utilizan un conjunto de características únicas más grande y más desalentador para aquellos que buscan detectarlos y, por lo tanto, identificarlos. Esta es una circunstancia inusual en el software; una situación en la que la "versionitis" (una gran cantidad de versiones del mismo software, todas ligeramente diferentes entre sí) puede ser beneficiosa. También hay una ventaja en tener implementados algunos honeypots fáciles de detectar. Fred Cohen , el inventor del Deception Toolkit, sostiene que cada sistema que ejecute su honeypot debería tener un puerto de engaño que los adversarios puedan usar para detectar el honeypot. [29] Cohen cree que esto podría disuadir a los adversarios. Los honeypots también permiten la detección temprana de amenazas legítimas. No importa cómo detecte el honeypot el exploit, puede alertarlo inmediatamente sobre el intento de ataque. [30]

Riesgos

El objetivo de los honeypots es atraer y mantener en contacto a los atacantes durante un período lo suficientemente largo como para obtener indicadores de compromiso (IoC) de alto nivel, como herramientas de ataque y tácticas, técnicas y procedimientos (TTP). Por lo tanto, un honeypot debe emular los servicios esenciales de la red de producción y otorgarle al atacante la libertad de realizar actividades adversarias para aumentar su atractivo para el atacante. Aunque el honeypot es un entorno controlado y se puede monitorear mediante herramientas como honeywall, [31] los atacantes aún pueden usar algunos honeypots como nodos pivote para penetrar en los sistemas de producción. [32]

El segundo riesgo de los honeypots es que pueden atraer a usuarios legítimos debido a la falta de comunicación en redes empresariales de gran escala. Por ejemplo, el equipo de seguridad que aplica y supervisa el honeypot puede no revelar la ubicación del honeypot a todos los usuarios a tiempo debido a la falta de comunicación o la prevención de amenazas internas. [33] [34]

Redes de miel

"Una 'red de miel' es una red de honeypots de alta interacción que simula una red de producción y está configurada de tal manera que toda la actividad es monitoreada, registrada y, en cierto grado, regulada discretamente".

-Lance Spitzner,
Proyecto Honeynet

Dos o más honeypots en una red forman una honeynet . Normalmente, una honeynet se utiliza para supervisar una red más grande y/o más diversa en la que un solo honeypot puede no ser suficiente. Las honeynets y los honeypots suelen implementarse como partes de sistemas de detección de intrusiones de red más grandes . Una honeyfarm es una colección centralizada de honeypots y herramientas de análisis. [35]

El concepto de red de miel comenzó en 1999 cuando Lance Spitzner, fundador del Proyecto Honeynet , publicó el artículo "Cómo construir una red de miel". [36]

Historia

Una formulación temprana del concepto, llamada "trampa", se define en FIPS 39 (1976) como "la implantación deliberada de fallas aparentes en un sistema con el propósito de detectar intentos de penetración o confundir a un intruso sobre qué fallas explotar". [37]

Las primeras técnicas de honeypot se describen en el libro de Clifford Stoll de 1989, The Cuckoo's Egg .

Uno de los primeros casos documentados del uso de un honeypot en materia de ciberseguridad comenzó en enero de 1991. El 7 de enero de 1991, mientras trabajaba en AT&T Bell Laboratories, Cheswick observó a un pirata informático criminal, conocido como cracker , que intentaba obtener una copia de un archivo de contraseñas. Cheswick escribió que él y sus colegas construyeron una "cárcel chroot" (o "motel de cucarachas") que les permitió observar a su atacante durante un período de varios meses. [38]

En 2017, la policía holandesa utilizó técnicas honeypot para rastrear a los usuarios del mercado de la darknet Hansa .

La metáfora de un oso que se siente atraído por la miel y la roba es común en muchas tradiciones, incluidas las germánicas, celtas y eslavas. Una palabra eslava común para el oso es medved "comedor de miel". La tradición de los osos que roban miel se ha transmitido a través de historias y folclore, especialmente el conocido Winnie the Pooh . [39] [40]

Véase también

Referencias y notas

  1. ^ Cole, Eric; Northcutt, Stephen. "Honeypots: Guía para administradores de seguridad sobre honeypots". Archivado desde el original el 16 de marzo de 2017.
  2. ^ abcd Provos, N. "Un marco de honeypot virtual". USENIX . Consultado el 29 de abril de 2023 .
  3. ^ abcd Mairh, A; Barik, D; Verma, K; Jena, D (2011). "Honeypot en seguridad de redes: una encuesta". Actas de la Conferencia internacional de 2011 sobre comunicaciones, informática y seguridad - ICCCS '11. Vol. 1. págs. 600–605. doi :10.1145/1947940.1948065. ISBN 978-1-4503-0464-1. S2CID  12724269 . Consultado el 29 de abril de 2023 .
  4. ^ Spitzner, L. (2003). "Honeypots: Catching the insider threat" (Pozos de miel: cómo atrapar la amenaza interna). 19.ª Conferencia Anual sobre Aplicaciones de Seguridad Informática, 2003. Actas . IEEE. págs. 170–179. doi :10.1109/csac.2003.1254322. ISBN. 0-7695-2041-3.S2CID 15759542  .
  5. ^ abc Mokube, Iyatiti; Adams, Michele (marzo de 2007). "Honeypots: conceptos, enfoques y desafíos". Actas de la 45.ª conferencia regional anual del sudeste . págs. 321–326. doi :10.1145/1233341.1233399. ISBN 9781595936295. Número de identificación del sujeto  15382890.
  6. ^ Lance Spitzner (2002). Honeypots que rastrean a los piratas informáticos . Addison-Wesley . Págs. 68-70. ISBN. 0-321-10895-7.
  7. ^ Katakoglu, Onur (3 de abril de 2017). "Ataques a Landscape en el lado oscuro de la Web" (PDF) . acm.org . Consultado el 9 de agosto de 2017 .
  8. ^ Litchfield, Samuel; Formby, David; Rogers, Jonathan; Meliopoulos, Sakis; Beyah, Raheem (2016). "Replanteando el honeypot para sistemas ciberfísicos". IEEE Internet Computing . 20 (5): 9–17. doi :10.1109/MIC.2016.103. ISSN  1089-7801. S2CID  1271662.
  9. ^ Göbel, Jan Gerrit; Dewald, Andreas; Freiling, Félix (2011). Cliente-Honeypots. doi :10.1524/9783486711516. ISBN 978-3-486-71151-6.
  10. ^ Talukder, Asoke K.; Chaitanya, Manish (17 de diciembre de 2008). Arquitectura de sistemas de software seguros Página 25 – CRC Press, Taylor & Francis Group. CRC Press. ISBN 9781420087857.
  11. ^ "Exponiendo el subsuelo: aventuras de un servidor proxy abierto". 21 de marzo de 2011.
  12. ^ "Captura de ataques web con honeypots de proxy abierto". 3 de julio de 2007.
  13. ^ "La tecnología relacionada con el engaño no es sólo algo "agradable de tener", es una nueva estrategia de defensa - Lawrence Pingree". 28 de septiembre de 2016.
  14. ^ Praveen (31 de julio de 2023). "¿Qué es un honeypot en ciberseguridad? Tipos, implementación y aplicaciones en el mundo real". Cybersecurity Exchange . Consultado el 5 de diciembre de 2023 .
  15. ^ Edwards, M. "Los honeypots antispam dan dolores de cabeza a los spammers". Windows IT Pro. Archivado desde el original el 1 de julio de 2017. Consultado el 11 de marzo de 2015 .
  16. ^ "Sophos revela los últimos países que retransmiten spam". Help Net Security . 24 de julio de 2006. Consultado el 14 de junio de 2013 .
  17. ^ "Software Honeypot, productos Honeypot, software de engaño". Detección de intrusiones, honeypots y recursos para la gestión de incidentes . Honeypots.net. 2013. Archivado desde el original el 8 de octubre de 2003 . Consultado el 14 de junio de 2013 .
  18. ^ dustintrammell (27 de febrero de 2013). «spamhole – The Fake Open SMTP Relay Beta». SourceForge . Dice Holdings, Inc. Consultado el 14 de junio de 2013 .
  19. ^ Ec-Council (5 de julio de 2009). Certified Ethical Hacker: Securing Network Infrastructure in Certified Ethical Hacking [Hacker ético certificado: cómo proteger la infraestructura de red en el hacking ético certificado]. Cengage Learning. pp. 3–. ISBN 978-1-4354-8365-1. Recuperado el 14 de junio de 2013 .
  20. ^ "¿Qué es un honeypot?". Guía digital de IONOS . 8 de agosto de 2017. Consultado el 14 de octubre de 2022 .
  21. ^ "Proteja su base de datos mediante la arquitectura Honeypot". dbcoretech.com. 13 de agosto de 2010. Archivado desde el original el 8 de marzo de 2012.
  22. ^ Langner, Ralph (mayo de 2011). "Stuxnet: Diseccionando un arma de guerra cibernética". IEEE Security & Privacy . 9 (3): 49–51. doi :10.1109/MSP.2011.67. ISSN  1558-4046. S2CID  206485737.
  23. ^ Stouffer, Keith; Falco, Joe; Scarfone, Karen (junio de 2011). "Guía de seguridad de sistemas de control industrial (ICS): sistemas de control de supervisión y adquisición de datos (SCADA), sistemas de control distribuido (DCS) y otras configuraciones de sistemas de control, como controladores lógicos programables (PLC)". Publicaciones del NIST (Publicación especial del NIST (SP) 800-82). Gaithersburg, MD: 155 páginas. doi : 10.6028/nist.sp.800-82 .
  24. ^ Jicha, Arthur; Patton, Mark; Chen, Hsinchun (septiembre de 2016). "SCADA honeypots: un análisis en profundidad de Conpot". Conferencia IEEE de 2016 sobre inteligencia e informática de seguridad (ISI) . págs. 196–198. doi :10.1109/ISI.2016.7745468. ISBN . 978-1-5090-3865-7.S2CID14996905  .​
  25. ^ Conpot, MushMush, 23 de junio de 2023 , consultado el 24 de junio de 2023
  26. ^ López-Morales, Efrén; Rubio-Medrano, Carlos; Doupé, Adam; Shoshitaishvili, Yan; Wang, Ruoyu; Bao, Tiffany; Ahn, Gail-Joon (2020-11-02). "HoneyPLC: un honeypot de próxima generación para sistemas de control industrial". Actas de la Conferencia ACM SIGSAC de 2020 sobre seguridad informática y de las comunicaciones . CCS '20. Nueva York, NY, EE. UU.: Association for Computing Machinery. págs. 279–291. doi :10.1145/3372297.3423356. hdl :2286/RI57069. ISBN 978-1-4503-7089-9. Número de identificación del sujeto  226228191.
  27. ^ HoneyPLC, SEFCOM, 24 de mayo de 2023 , consultado el 24 de junio de 2023
  28. ^ Cabral, Warren; Valli, Craig; Sikos, Leslie; Wakeling, Samuel (2019). "Revisión y análisis de artefactos cauri y su potencial para ser utilizados de manera engañosa". Actas de la Conferencia internacional de 2019 sobre ciencia computacional e inteligencia computacional . IEEE. págs. 166–171. doi :10.1109/CSCI49370.2019.00035. ISBN . 978-1-7281-5584-5.
  29. ^ "Deception Toolkit". All.net . 2013 . Consultado el 14 de junio de 2013 .
  30. ^ Honeypots para Windows. 2005. doi :10.1007/978-1-4302-0007-9. ISBN 978-1-59059-335-6.
  31. ^ "CDROM Honeywall – El Proyecto Honeynet". Archivado desde el original el 11 de octubre de 2022. Consultado el 7 de agosto de 2020 .
  32. ^ Spitzner, Lance (2002). Honeypots que rastrean a los piratas informáticos . Addison-Wesley Professional. OCLC  1153022947.
  33. ^ Qassrawi, Mahmoud T.; Hongli Zhang (mayo de 2010). "Señuelos de cliente: enfoques y desafíos". 4.ª Conferencia internacional sobre nuevas tendencias en ciencias de la información y ciencias de los servicios : 19-25.
  34. ^ "Redes ilusorias: por qué los honeypots se han quedado estancados en el pasado | NEA | New Enterprise Associates". www.nea.com . Consultado el 7 de agosto de 2020 .
  35. ^ "Asistencia al cliente de enrutadores Cisco". Clarkconnect.com. Archivado desde el original el 16 de enero de 2017. Consultado el 31 de julio de 2015 .
  36. ^ "Conoce a tu enemigo: redes de miel GenII más fáciles de implementar, más difíciles de detectar, más seguras de mantener". Proyecto Honeynet . 12 de mayo de 2005. Archivado desde el original el 25 de enero de 2009. Consultado el 14 de junio de 2013 .
  37. ^ "National Bureau of Standards (15 de febrero de 1976). Glosario de seguridad de sistemas informáticos" (PDF) . www.govinfo.gov . Consultado el 19 de marzo de 2023 .
  38. ^ "Una velada con Berferd en la que se atrae, se soporta y se estudia a un petardo" (PDF) . cheswick.com . Consultado el 3 de febrero de 2021 .
  39. ^ "La palabra para "oso"". Pitt.edu . Archivado desde el original el 29 de septiembre de 2013. Consultado el 12 de septiembre de 2014 .
  40. ^ Shepard, EH, Milne, AA (1994). Los cuentos completos de Winnie-the-Pooh. Reino Unido: Dutton Children's Books.

Lectura adicional

Enlaces externos