Estimados amigos del Blog:
Cuando hablamos de ciberseguridad, se nos vienen a la cabeza numerosos ataques. Desde los conocidos Phishing o Spam, pasando por el Ransomware, la suplantación de identidades y mil diabluras más.
Si vemos la situación desde la perspectiva buena, la del defensor, contamos con no menos soluciones o herramientas defensivas para luchar contra los malos, contra estos ataques. Estas herramientas, como sabes, se complementan, lo que denominamos Defensa en Profundidad. No hay una solución única, es más, HUYE de estas afirmaciones. Solo un proceso continuo de mejora garantizará que estás haciendo eso, mejorando, no llegando a la meta final, ya que no existe el final del recorrido. Siempre habrá un nuevo fallo, amenaza o ley de Murphy.
¿Qué es un Honeypot y para qué sirve?
Para no caer en la auténtica desesperación, contamos con un servicio muy interesante a la par de efectivo para la lucha contra los malos, y son los servicios de Decepción o Honeypots. El concepto es muy sencillo: coloco algo que parece bueno, legítimo, para atraer la atención del atacante y conseguir advertir que un malhechor está intentando hacer uso de él.
El primer Honeypot que conocí fue cuando era crío y trabajaba en un restaurante los fines de semana. No había cámaras, ¡no había nada! Tras varios hurtos, robos o pérdidas… el dueño decidió ver qué pasaba. Tiro un billete de 2000 pesetas por un sitio en el que solo pasábamos los camareros, mi compañero y yo.
Yo pasé al baño interior… todo hay que decirlo… y encontré un billete rosado. Como mi mamá me enseñó, salí y pregunté si alguien había perdido un billete. Al parecer mi compañero no hizo lo mismo y lo pilló…
Hoy en día podríamos poner una cámara, no mirando al baño, sino al billete… ¡y justo eso es un Honeypot!
Estrategias de Honeypots
Lo interesante de este servicio no está el concepto, ya que como digo, esto es más viejo que el sol. Sino en idear una estrategia de Honeypots, de señuelos, que parezcan realistas, que se alineen con la misión de la empresa y que sean eficaces.
Si eres una empresa de alimentación, tiene sentido poner un Honeypot que simule ser una máquina de refrigeración, no un surtido de gasolina. Dicho así parece hasta cachondeo, pero creedme, hay Honeypots que cantan por bulerías…
Desde Verne Tech, ofrecemos este servicio de Ciberseguridad para empresas y desde el Máster de Ciberseguridad Empresarial para entornos Microsoft enseñamos al alumno a cómo montar su propia red de Honeypots.
HoneyPort para Windows
Durante el Máster, por ejemplo, vemos HoneyPort (https://github.com/Pwdrkeg/honeyport). Un HoneyPort para Windows muy sencillo pero atractivo. El servicio emula los puertos que le indicamos… Ya sabes que uno de los movimientos que hacen los atacantes en el Kill Chain son los relativos a la fase de Descubrimiento.
Activamos el servicio, indicamos qué puertos queremos emular. Tenemos la opción de hacer una whitelist. Ya sabes, si tienes una herramienta de ITSM o de ciberseguridad que está constantemente detectando servicios y equipos, te daría muchos falsos positivos… Lo tiene todo.
Lo más interesante es que te crea una regla en el firewall para bloquear la dirección IP origen del atacante. Si esto te lo llevas a un evento y a un SIEM… no solo estás haciendo una defensa activa, sino también proactiva, ya que puedes iniciar los mecanismos en otros equipos antes de que el atacante advierta la presencia de la monitorización.
Si tienes servicios web, sería interesante emular aplicaciones o directorios/ficheros dentro de las mismas. O métodos de un api… En el Directorio Activo podemos emular servicios, ramas del registro y usuarios, entre muchas otras.
Hay un sinfín de posibilidades, al final, hay tantas como tipos de elementos en la red.
Máster de Ciberseguridad
¡Conviértete en un experto y certifícate!
