stringtranslate.com

Honeypot (informática)

En terminología informática, un honeypot es un mecanismo de seguridad informática configurado para detectar, desviar o, de alguna manera, contrarrestar intentos de uso no autorizado de sistemas de información . Generalmente, un honeypot consta de datos (por ejemplo, en un sitio de red) que parecen ser una parte legítima del sitio que contiene información o recursos de valor para los atacantes. En realidad, está aislado, monitoreado y capaz de bloquear o analizar a los atacantes. Esto es similar a las operaciones encubiertas de la policía , conocidas coloquialmente como "cebar" a un sospechoso. [1]

El uso principal de este señuelo de red es distraer a los atacantes potenciales de información y máquinas más importantes en la red real, conocer las formas de ataques que pueden sufrir y examinar dichos ataques durante y después de la explotación de un honeypot. Proporciona una manera de prevenir y ver vulnerabilidades en un sistema de red específico. Un honeypot es un señuelo utilizado para proteger una red de ataques presentes o futuros. [2] [3] Los Honeypots obtienen su valor del uso que hacen los atacantes. Si no se interactúa con él, el honeypot tiene poco o ningún valor. Los Honeypots se pueden utilizar para todo, desde ralentizar o detener ataques automatizados, capturar nuevos exploits, hasta recopilar inteligencia sobre amenazas emergentes o alerta y predicción tempranas. [4]

Diagrama de un sistema de información honeypot.

Tipos

Los Honeypots se pueden diferenciar según sean físicos o virtuales: [2] [3]

Los Honeypots se pueden clasificar según su implementación (uso/acción) y según su nivel de implicación. Según su implementación, los honeypots pueden clasificarse como: [5]

Los honeypots de producción son fáciles de usar, capturan sólo información limitada y son utilizados principalmente por corporaciones. Una organización coloca los honeypots de producción dentro de la red de producción con otros servidores de producción para mejorar su estado general de seguridad. Normalmente, los honeypots de producción son honeypots de baja interacción, que son más fáciles de implementar. Proporcionan menos información sobre los ataques o los atacantes que los honeypots de investigación. [5]

Se ejecutan honeypots de investigación para recopilar información sobre los motivos y tácticas de la comunidad de sombrero negro que se dirige a diferentes redes. Estos honeypots no añaden valor directo a una organización específica; en cambio, se utilizan para investigar las amenazas que enfrentan las organizaciones y para aprender cómo protegerse mejor contra esas amenazas. [6] Los honeypots de investigación son complejos de implementar y mantener, capturan una gran cantidad de información y son utilizados principalmente por organizaciones de investigación, militares o gubernamentales. [7]

Según los criterios de diseño, los honeypots se pueden clasificar como: [5]

Los honeypots puros son sistemas de producción completos. Las actividades del atacante se monitorean mediante un detector de errores que se ha instalado en el enlace del honeypot a la red. No es necesario instalar ningún otro software. Aunque un honeypot puro es útil, el sigilo de los mecanismos de defensa puede garantizarse mediante un mecanismo más controlado.

Los honeypots de alta interacción imitan las actividades de los sistemas de producción que albergan una variedad de servicios y, por lo tanto, a un atacante se le puede permitir que muchos servicios pierdan su tiempo. Al emplear máquinas virtuales , se pueden alojar varios honeypots en una única máquina física. Por lo tanto, incluso si el honeypot está comprometido, se puede restaurar más rápidamente. En general, los honeypots de alta interacción brindan más seguridad al ser difíciles de detectar, pero su mantenimiento es costoso. Si no hay máquinas virtuales disponibles, se debe mantener una computadora física para cada honeypot, lo que puede resultar exorbitantemente costoso. Ejemplo: Honeynet .

Los honeypots de baja interacción simulan sólo los servicios solicitados con frecuencia por los atacantes. [8] Dado que consumen relativamente pocos recursos, se pueden alojar fácilmente varias máquinas virtuales en un sistema físico, los sistemas virtuales tienen un tiempo de respuesta corto y se requiere menos código, lo que reduce la complejidad de la seguridad del sistema virtual. Ejemplo: cariño . Este tipo de honeypot fue uno de los primeros que se crearon a finales de los noventa y se utilizaba principalmente para detectar ataques, no para estudiarlos. [9]

La caña de azúcar es un tipo de honeypot que se hace pasar por un proxy abierto. [10] A menudo puede tomar la forma de un servidor diseñado para parecerse a un proxy HTTP mal configurado. [11] Probablemente el proxy abierto más famoso fue la configuración predeterminada de sendmail (antes de la versión 8.9.0 en 1998) que reenviaba correo electrónico hacia y desde cualquier destino. [12]

Tecnología de engaño

Recientemente, ha surgido un nuevo segmento de mercado llamado tecnología de engaño que utiliza tecnología de honeypot básica con la adición de automatización avanzada para escalar. La tecnología de engaño aborda la implementación automatizada de recursos de honeypot en una gran empresa comercial o institución gubernamental. [13]

Honeypots de malware

Los honeypots de malware son un señuelo diseñado para atraer intencionalmente software malicioso. Lo hace imitando un sistema o red vulnerable, como un servidor web. El honeypot está configurado intencionalmente con fallas de seguridad que buscan invitar a estos ataques de malware. Una vez atacados, los equipos de TI pueden analizar el malware para comprender mejor de dónde proviene y cómo actúa. [14]

Versiones de spam

Los spammers abusan de recursos vulnerables como retransmisiones de correo abiertas y servidores proxy abiertos . Se trata de servidores que aceptan correos electrónicos de cualquier persona en Internet (incluidos los spammers) y los envían a su destino. Algunos administradores de sistemas han creado programas honeypot que se hacen pasar por estos recursos de los que se puede abusar para descubrir la actividad de los spammers.

Hay varias capacidades que estos honeypots brindan a estos administradores, y la existencia de sistemas falsos de los que se puede abusar hace que el abuso sea más difícil o riesgoso. Los Honeypots pueden ser una poderosa contramedida al abuso por parte de aquellos que dependen de un volumen muy alto de abuso (por ejemplo, los spammers).

Estos honeypots pueden revelar la dirección IP del abusador y proporcionar captura masiva de spam (lo que permite a los operadores determinar las URL y los mecanismos de respuesta de los spammers). Como lo describe M. Edwards en ITPRo Today:

Normalmente, los spammers prueban la retransmisión abierta de un servidor de correo simplemente enviándose a sí mismos un mensaje de correo electrónico. Si el spammer recibe el mensaje de correo electrónico, el servidor de correo obviamente permite la retransmisión abierta. Los operadores de Honeypot, sin embargo, pueden utilizar la prueba de retransmisión para frustrar a los spammers. El honeypot capta el mensaje de correo electrónico de prueba de retransmisión, lo devuelve y posteriormente bloquea todos los demás mensajes de correo electrónico de ese spammer. Los spammers continúan utilizando el honeypot antispam para enviar spam, pero el spam nunca se entrega. Mientras tanto, el operador del honeypot puede notificar a los ISP de los spammers y cancelar sus cuentas de Internet. Si los operadores de honeypot detectan spammers que utilizan servidores proxy abiertos, también pueden notificar al operador del servidor proxy que bloquee el servidor para evitar un mayor uso indebido. [15]

La fuente aparente puede ser otro sistema abusado. Los spammers y otros abusadores pueden utilizar una cadena de dichos sistemas abusados ​​para dificultar la detección del punto de partida original del tráfico abusivo.

Esto en sí mismo es indicativo del poder de los honeypots como herramientas antispam . En los primeros días de los honeypots antispam, los spammers, sin preocuparse por ocultar su ubicación, se sentían seguros probando vulnerabilidades y enviando spam directamente desde sus propios sistemas. Los Honeypots hicieron que el abuso fuera más riesgoso y difícil.

El spam todavía fluye a través de retransmisiones abiertas, pero el volumen es mucho menor que en 2001-02. Si bien la mayor parte del spam se origina en los EE. UU., [16] los spammers saltan a través de retransmisiones abiertas a través de fronteras políticas para enmascarar su origen. Los operadores de honeypots pueden utilizar pruebas de retransmisión interceptadas para reconocer y frustrar los intentos de retransmitir spam a través de sus honeypots. "Frustrar" puede significar "aceptar el spam de retransmisión pero negarse a entregarlo". Los operadores de Honeypot pueden descubrir otros detalles sobre el spam y el spammer examinando los mensajes de spam capturados.

Los honeypots de retransmisión abierta incluyen Jackpot, escrito en Java por Jack Cleaver; smtpot.py , escrito en Python por Karl A. Krueger; [17] y spamhole, escrito en C . [18] Bubblegum Proxypot es un honeypot de código abierto (o "proxypot"). [19]

Trampa de correo electrónico

Una dirección de correo electrónico que no se utiliza para ningún otro propósito que no sea recibir spam también puede considerarse un honeypot de spam. En comparación con el término " trampa de spam ", el término "honeypot" podría ser más adecuado para sistemas y técnicas que se utilizan para detectar o contraatacar sondas. Con una trampa de spam, el spam llega a su destino "legítimamente", exactamente como llegaría el correo electrónico que no es spam.

Una amalgama de estas técnicas es Project Honey Pot , un proyecto distribuido de código abierto que utiliza páginas honeypot instaladas en sitios web de todo el mundo. Estas páginas honeypot difunden direcciones de correo electrónico spam con etiquetas exclusivas y los spammers pueden ser rastreados: el correo spam correspondiente se envía posteriormente a estas direcciones de correo electrónico spam. [20]

Honeypot de base de datos

Las bases de datos a menudo son atacadas por intrusos que utilizan inyección SQL . Como este tipo de actividades no son reconocidas por los cortafuegos básicos, las empresas suelen utilizar cortafuegos de bases de datos como protección. Algunos de los cortafuegos de bases de datos SQL disponibles proporcionan/soportan arquitecturas honeypot para que el intruso se ejecute en una base de datos trampa mientras la aplicación web sigue funcionando. [21]

Honeypot de sistemas de control industrial

Los sistemas de control industrial (ICS) suelen ser el objetivo de los ciberataques. [22] Uno de los principales objetivos dentro de ICS son los controladores lógicos programables . [23] Para comprender las técnicas de los intrusos en este contexto, se han propuesto varios honeypots. Conpot [24] [25] es un honeypot de baja interacción capaz de simular PLC Siemens. HoneyPLC es un honeypot de interacción media que puede simular Siemens, Rockwell y otras marcas de PLC. [26] [27]

Detección de Honeypot

Así como los honeypots son armas contra los spammers, los sistemas de detección de honeypots son contraarmas empleadas por los spammers. Como los sistemas de detección probablemente usarían características únicas de honeypots específicos para identificarlos, como los pares propiedad-valor de la configuración predeterminada del honeypot, [28] muchos honeypots en uso utilizan un conjunto de características únicas más grandes y más desalentadoras para quienes buscan detectar y así identificarlos. Ésta es una circunstancia inusual en el software; una situación en la que la "versionitis" (un gran número de versiones del mismo software, todas ligeramente diferentes entre sí) puede resultar beneficiosa. También existe una ventaja en tener implementados algunos honeypots fáciles de detectar. Fred Cohen , el inventor del Deception Toolkit, sostiene que cada sistema que ejecute su honeypot debería tener un puerto de engaño que los adversarios puedan utilizar para detectar el honeypot. [29] Cohen cree que esto podría disuadir a los adversarios. Los Honeypots también permiten la detección temprana de amenazas legítimas. No importa cómo el honeypot detecte el exploit, puede alertarle inmediatamente sobre el intento de ataque. [30]

Riesgos

El objetivo de los honeypots es atraer y comprometer a los atacantes durante un período suficientemente largo para obtener indicadores de compromiso (IoC) de alto nivel, como herramientas de ataque y tácticas, técnicas y procedimientos (TTP). Por lo tanto, un honeypot debe emular servicios esenciales en la red de producción y otorgar al atacante la libertad de realizar actividades adversas para aumentar su atractivo para el atacante. Aunque el honeypot es un entorno controlado y puede monitorearse mediante el uso de herramientas como Honeywall, [31] los atacantes aún pueden usar algunos honeypots como nodos pivotantes para penetrar los sistemas de producción. [32]

El segundo riesgo de los honeypots es que pueden atraer usuarios legítimos debido a la falta de comunicación en las redes empresariales de gran escala. Por ejemplo, el equipo de seguridad que aplica y monitorea el honeypot puede no revelar su ubicación a todos los usuarios a tiempo debido a la falta de comunicación o de prevención de amenazas internas. [33] [34]

Redes de miel

"Una 'honey net' es una red de honeypots de alta interacción que simula una red de producción y está configurada de manera que toda la actividad sea monitoreada, registrada y, hasta cierto punto, discretamente regulada".

-Lance Spitzner,
Proyecto Honeynet

Dos o más honeypots en una red forman una red de miel . Normalmente, una red de miel se utiliza para monitorear una red más grande y/o más diversa en la que un honeypot puede no ser suficiente. Las redes de miel y los honeypots generalmente se implementan como parte de sistemas de detección de intrusiones de redes más grandes . Una granja de miel es una colección centralizada de honeypots y herramientas de análisis. [35]

El concepto de red de miel comenzó en 1999 cuando Lance Spitzner, fundador del Proyecto Honeynet , publicó el artículo "To Build a Honeypot". [36]

Historia

Una formulación temprana del concepto, llamada "atrapamiento", se define en FIPS 39 (1976) como "la implantación deliberada de fallas aparentes en un sistema con el fin de detectar intentos de penetración o confundir a un intruso sobre qué fallas explotar". [37]

Las primeras técnicas de honeypot se describen en el libro de Clifford Stoll de 1989 , The Cuckoo's Egg .

Uno de los primeros casos documentados del uso de un honeypot en ciberseguridad comenzó en enero de 1991. El 7 de enero de 1991, mientras trabajaba en AT&T Bell Laboratories, Cheswick observó a un hacker criminal, conocido como cracker , que intentaba obtener una copia de una contraseña. archivo. Cheswick escribió que él y sus colegas construyeron una "cárcel" chroot (o "motel de cucarachas")" que les permitió observar a su atacante durante un período de varios meses. [38]

En 2017, la policía holandesa utilizó técnicas de honeypot para rastrear a los usuarios del mercado de la red oscura Hansa .

La metáfora de un oso atraído y robando miel es común en muchas tradiciones, incluidas la germánica, la celta y la eslava. Una palabra eslava común para el oso es medved "comedor de miel". La tradición de los osos robando miel se ha transmitido de generación en generación a través de historias y folklore, especialmente el conocido Winnie the Pooh . [39] [40]

Ver también

Referencias y notas

  1. ^ Cole, Eric; Northcutt, Stephen. "Honeypots: una guía de Honeypots para administradores de seguridad".
  2. ^ abcd Provos, N. "Un marco de Honeypot virtual". USENIX . Consultado el 29 de abril de 2023 .
  3. ^ abcd Mairh, A; Barik, D; Verma, K; Jena, D (2011). "Honeypot en seguridad de redes: una encuesta". ACM (Asociación de Maquinaria de Computación) . 1 (1): 600–605. doi :10.1145/1947940.1948065. S2CID  12724269 . Consultado el 29 de abril de 2023 .
  4. ^ Spitzner, L. (2003). "Honeypots: captar la amenaza interna". 19.ª Conferencia anual sobre aplicaciones de seguridad informática, 2003. Actas . IEEE. págs. 170-179. doi :10.1109/csac.2003.1254322. ISBN 0-7695-2041-3. S2CID  15759542.
  5. ^ abc Mokube, Iyatiti; Adams, Michele (marzo de 2007). "Honeypots: conceptos, enfoques y desafíos". Actas de la 45ª conferencia regional anual del sureste . págs. 321–326. doi :10.1145/1233341.1233399. ISBN 9781595936295. S2CID  15382890.
  6. ^ Lanza Spitzner (2002). Honeypots que rastrean a los piratas informáticos . Addison-Wesley . págs. 68–70. ISBN 0-321-10895-7.
  7. ^ Katakoglu, Onur (3 de abril de 2017). "Paisaje de ataques en el lado oscuro de la Web" (PDF) . acm.org . Consultado el 9 de agosto de 2017 .
  8. ^ Litchfield, Samuel; Formby, David; Rogers, Jonathan; Meliopoulos, Sakis; Beyah, Raheem (2016). "Repensar el Honeypot para sistemas ciberfísicos". Computación de Internet IEEE . 20 (5): 9-17. doi :10.1109/MIC.2016.103. ISSN  1089-7801. S2CID  1271662.
  9. ^ Göbel, Jan Gerrit; Dewald, Andreas; Freiling, Félix (2011). Cliente-Honeypots. doi :10.1524/9783486711516. ISBN 978-3-486-71151-6.
  10. ^ Talukder, Asoke K.; Chaitanya, Manish (17 de diciembre de 2008). Diseño de sistemas de software seguros Página 25 - CRC Press, Taylor & Francis Group. Prensa CRC. ISBN 9781420087857.
  11. ^ "Exponiendo el subsuelo: las aventuras de un servidor proxy abierto". 21 de marzo de 2011.
  12. ^ "Captura de ataques web con honeypots proxy abiertos". 3 de julio de 2007.
  13. ^ "Tecnología relacionada con el engaño: no es sólo algo" agradable de tener ", es una nueva estrategia de defensa - Lawrence Pingree". 28 de septiembre de 2016.
  14. ^ Praveen (31 de julio de 2023). "¿Qué es un Honeypot en ciberseguridad? Tipos, implementación y aplicaciones del mundo real". Intercambio de ciberseguridad . Consultado el 5 de diciembre de 2023 .
  15. ^ Edwards, M. "Los Honeypots antispam dan dolores de cabeza a los spammers". Windows TI profesional. Archivado desde el original el 1 de julio de 2017 . Consultado el 11 de marzo de 2015 .
  16. ^ "Sophos revela los últimos países de retransmisión de spam". Ayuda a la seguridad de la red . 24 de julio de 2006 . Consultado el 14 de junio de 2013 .
  17. ^ "Software Honeypot, productos Honeypot, software de engaño". Recursos de detección de intrusiones, honeypots y manejo de incidentes . Honeypots.net. 2013. Archivado desde el original el 8 de octubre de 2003 . Consultado el 14 de junio de 2013 .
  18. ^ Dustintrammell (27 de febrero de 2013). "agujero de spam: la beta falsa de retransmisión SMTP abierta". FuenteForge . Dados Holdings, Inc. Consultado el 14 de junio de 2013 .
  19. ^ Consejo Europeo (5 de julio de 2009). Hacker ético certificado: protección de la infraestructura de red en piratería ética certificada. Aprendizaje Cengage. págs.3–. ISBN 978-1-4354-8365-1. Consultado el 14 de junio de 2013 .
  20. ^ "¿Qué es un honeypot?". Guía digital de IONOS . 8 de agosto de 2017 . Consultado el 14 de octubre de 2022 .
  21. ^ "Asegure su base de datos utilizando la arquitectura Honeypot". dbcoretech.com. 13 de agosto de 2010. Archivado desde el original el 8 de marzo de 2012.
  22. ^ Langner, Ralph (mayo de 2011). "Stuxnet: disección de un arma de guerra cibernética". Seguridad y privacidad de IEEE . 9 (3): 49–51. doi :10.1109/MSP.2011.67. ISSN  1558-4046. S2CID  206485737.
  23. ^ Stouffer, Keith; Falco, Joe; Scarone, Karen (junio de 2011). "Guía de seguridad de los sistemas de control industrial (ICS): sistemas de control de supervisión y adquisición de datos (SCADA), sistemas de control distribuido (DCS) y otras configuraciones de sistemas de control, como controladores lógicos programables (PLC)". Gaithersburg, MD. doi : 10.6028/nist.sp.800.82. {{cite journal}}: Citar diario requiere |journal=( ayuda )
  24. ^ Jicha, Arturo; Patton, Marcos; Chen, Hsinchun (septiembre de 2016). "SCADA honeypots: un análisis en profundidad de Conpot". Conferencia IEEE 2016 sobre Inteligencia e Informática de Seguridad (ISI) . págs. 196-198. doi :10.1109/ISI.2016.7745468. ISBN 978-1-5090-3865-7. S2CID  14996905.
  25. ^ Conpot, MushMush, 23 de junio de 2023 , consultado el 24 de junio de 2023
  26. ^ López-Morales, Efrén; Rubio-Medrano, Carlos; Doupé, Adam; Shoshitaishvili, Yan; Wang, Ruoyu; Bao, Tiffany; Ahn, Gail-Joon (2 de noviembre de 2020). "HoneyPLC: un Honeypot de próxima generación para sistemas de control industrial". Actas de la Conferencia ACM SIGSAC 2020 sobre seguridad informática y de las comunicaciones . CCS '20. Nueva York, NY, EE.UU.: Asociación de Maquinaria de Computación. págs. 279–291. doi :10.1145/3372297.3423356. hdl :2286/RI57069. ISBN 978-1-4503-7089-9. S2CID  226228191.
  27. ^ HoneyPLC, SEFCOM, 24 de mayo de 2023 , consultado el 24 de junio de 2023
  28. ^ Cabral, Warren; Valli, Craig; Sikos, Leslie; Wakeling, Samuel (2019). "Revisión y análisis de artefactos de cauri y su potencial para ser utilizados de manera engañosa". Actas de la Conferencia Internacional de 2019 sobre Ciencias Computacionales e Inteligencia Computacional . IEEE. págs. 166-171. doi :10.1109/CSCI49370.2019.00035. ISBN 978-1-7281-5584-5.
  29. ^ "Kit de herramientas para el engaño". Todo.net . 2013 . Consultado el 14 de junio de 2013 .
  30. ^ Honeypots para Windows. 2005.doi :10.1007/978-1-4302-0007-9 . ISBN 978-1-59059-335-6.
  31. ^ "CDROM Honeywall: el proyecto Honeynet" . Consultado el 7 de agosto de 2020 .
  32. ^ Spitzner, Lanza (2002). Honeypots que rastrean a los piratas informáticos . Profesional de Addison-Wesley. OCLC  1153022947.
  33. ^ Qassrawi, Mahmoud T.; Hongli Zhang (mayo de 2010). "Honeypots de clientes: enfoques y desafíos". IV Congreso Internacional sobre Nuevas Tendencias en Ciencias de la Información y Ciencias de Servicios : 19–25.
  34. ^ "Redes ilusorias: por qué los Honeypots están estancados en el pasado | NEA | New Enterprise Associates". www.nea.com . Consultado el 7 de agosto de 2020 .
  35. ^ "Atención al cliente del enrutador Cisco". Clarkconnect.com. Archivado desde el original el 16 de enero de 2017 . Consultado el 31 de julio de 2015 .
  36. ^ "Conozca a su enemigo: GenII Honey Nets. Más fácil de implementar, más difícil de detectar y más seguro de mantener". Proyecto Honeynet . 12 de mayo de 2005. Archivado desde el original el 25 de enero de 2009 . Consultado el 14 de junio de 2013 .
  37. ^ "Oficina Nacional de Normas (15 de febrero de 1976). Glosario de seguridad de sistemas informáticos" (PDF) . www.govinfo.gov . Consultado el 19 de marzo de 2023 .
  38. ^ "Una velada con Berferd en la que se atrae, se soporta y se estudia una galleta" (PDF) . cheswick.com . Consultado el 3 de febrero de 2021 .
  39. ^ "La palabra para" oso"". Pitt.edu . Consultado el 12 de septiembre de 2014 .
  40. ^ Shepard, EH, Milne, AA (1994). Los cuentos completos de Winnie-the-Pooh. Reino Unido: Libros infantiles de Dutton.

Otras lecturas

enlaces externos