📆 Publicado el

Por qué deberías implementar uno o varios servidores honeypots en la red empresarial

4 min read
Autor

Por qué deberías implementar uno o varios honeypots en la red empresarial

/static/images/uploads/por-que-deberias-implementar-un-honeypot/honeypot-network.webp

Introducción

La seguridad de la red interna es una prioridad para cualquier empresa que quiera proteger sus activos más valiosos. A pesar de contar con firewalls, sistemas de detección de intrusiones (IDS), y otras herramientas de seguridad, es posible que amenazas internas o atacantes que ya han comprometido la red se pasen por alto. Aquí es donde los honeypots juegan un papel fundamental, actuando como señuelos para detectar movimientos sospechosos dentro de la red.

¿Qué es un honeypot?

Un honeypot es un sistema o dispositivo que simula vulnerabilidades o servicios para atraer a los atacantes, con el objetivo de observar sus tácticas y movimientos sin exponer recursos reales. En una red interna, un honeypot puede hacerse pasar por servidores o equipos legítimos para detectar atacantes que han logrado penetrar las defensas externas.

Beneficios de usar honeypots sin avisar a los empleados

  1. Detección de amenazas internas: Un honeypot no debería ser accedido ni manipulado por nadie dentro de la red interna de la empresa. Si alguien lo intenta, es una señal clara de que hay comportamiento malicioso o inapropiado desde dentro, ya sea por un empleado o un atacante externo que ya ha comprometido la red.

  2. Identificación de movimientos laterales: Los atacantes que han logrado entrar en la red suelen buscar ampliar su control a otros dispositivos y servidores. Un honeypot puede ayudar a detectar estas actividades, ya que estará diseñado para parecer un recurso valioso que los atacantes querrán escanear o comprometer. Esto, como empresa atacada, te da algo de tiempo para prepararte para lo que viene en los próximos minutos, horas o días.

  3. Aprendizaje sobre tácticas y herramientas: Los honeypots también permiten a tu equipo de seguridad aprender más sobre las tácticas, técnicas y procedimientos (TTPs) que los atacantes utilizan. Esto puede mejorar tu respuesta ante incidentes y fortalecer la seguridad de tu red a largo plazo.

  4. Desviación de ataques hacia recursos falsos: En algunos casos, los honeypots pueden actuar como una distracción para los atacantes, desviando su atención de los sistemas reales y haciendo que pierdan tiempo intentando comprometer sistemas falsos.

  5. Coste reducido y fácil implementación: Comparado con otras soluciones de seguridad, los honeypots pueden ser relativamente fáciles de implementar y mantener, especialmente utilizando tecnologías como Docker. Además, puedes usar hardware menos costoso para configurar múltiples honeypots.

Ejemplos de honeypots que puedes implementar con Docker

Existen varios frameworks prefabricados que puedes instalar con Docker y en cuestión de minutos tendrás un cuadro de mandos avisándote en tiempo real de:

  • Usuarios y contraseñas con los que se están intentando conectar por SSH, FTP o cualquier otro servicio.
  • Directorios típicos de búsqueda en puertos HTTP/HTTPS.
  • Si el servidor está conectado a internet, procedencia geográfica de los ataques.

A continuación, tienes una imagen de un panel de control de Kibana ofrecido por uno de estos frameworks de Docker:

/static/images/uploads/por-que-deberias-implementar-un-honeypot/tpot.webp

  1. Cowrie: Un honeypot de SSH y Telnet que simula una shell vulnerable. Es útil para detectar intentos de acceso no autorizado a través de estos protocolos.

    docker run -d -p 2222:2222 cowrie/cowrie

  2. Dionaea: Un honeypot para capturar malware y exploits. Es ideal para detectar intentos de explotación de vulnerabilidades conocidas.

    docker run -d -p 21:21 -p 42:42 -p 80:80 -p 443:443 dtagdevsec/dionaea

  3. HoneyDB: Un honeypot diseñado para recopilar información sobre ataques. Se conecta a la red de honeypots de HoneyDB para compartir y obtener información sobre tendencias de amenazas.

    docker run -d -p 3000:3000 honeydb/honeydb

  4. T-Pot: Un honeypot que combina varios servicios honeypot en una sola solución, incluyendo Dionaea, Snort y Cowrie. Es más complejo pero ofrece una mayor cobertura. Tienes más información en su repositorio de GitHub.

    docker-compose -f docker-compose.yml up -d

Consideraciones importantes

Un aspecto crucial a tener en cuenta es que un honeypot demasiado evidente puede ser fácilmente detectado y evitado por atacantes sofisticados. Si el honeypot tiene configuraciones inusuales o servicios demasiado vulnerables que no coinciden con el resto de la infraestructura de la red, los atacantes podrían identificarlo rápidamente como un señuelo y optar por ignorarlo, dirigiendo sus ataques a otros objetivos reales. Por ello, es importante que el honeypot esté diseñado para integrarse sutilmente en la red, simulando un recurso legítimo sin levantar sospechas, lo que incrementa su eficacia para detectar amenazas.

Conclusión

Los honeypots no solo proporcionan una capa adicional de seguridad para detectar amenazas internas o movimientos laterales, sino que también permiten a las empresas estar un paso por delante de los atacantes. Implementarlos sin avisar a los empleados asegura que los comportamientos maliciosos sean más fáciles de identificar, ya que cualquier intento de acceso a estos sistemas debe ser considerado sospechoso.

Ver en Github