¿Qué es un honeypot en Ciberseguridad?

Honeypot es un termino que muchas personas desconocen en en ciberseguridad y aunque no es una nueva gama de productos sí pueden ser de gran ayuda dada la gran cantidad de ataques reportados cada día en todo el mundo.

El termino Honeypot (Pote de miel en Ingles) es básicamente un programa señuelo o trampa que sirve de objetivo para un ataque informático con el fin de detectarlo y sustraer toda la información del ataque y del atacante que lo realiza.

Hay muchas herramientas tanto de código abierto como de pago, obviamente con las ventajas y desventajas que tienen cada una de ellas

Los honeypots pueden ser señuelos indetectables por los atacantes y se les puede usar en modo de detección, para tomar decisiones de manera autónoma, para hacer investigaciones o simplemente como complemento a la seguridad de una empresa.

Hacerle creer al atacante que logro su cometido de penetrar una red es parte del uso más común que se les da a los honeypot y que sientan que están dentro de la red corporativa aunque en realidad están en un entorno simulado o dentro de un sandbox

Si se quiere dedicar una red corporativa para crear las tareas de honeypot entonces el concepto cambia y se denomina honeynet

Cómo sería el proceso?

Podemos decir que hay tres etapas:

En la primera nos permite recolectar la información del ataque.

Una segunda etapa en la que investigamos el ataque y en la ultima etapa podemos reducir su fuerza de ataque para lograr tomar decisiones y evitar que afecte toda la red.

Se puede implementar después del firewall y de esta manera podremos saber si un atacante es capar de ingresar a nuestra red .

La detección es realmente su fundamento no la prevención de los ataques.

Tipos de Honeypot

Existe dos tipos fundamentales:

De producción que son los usados a nivel corporativo para detectar ataques dirigidos a los entornos corporativos

De investigación que los usan los investigadores, estudiantes o especialistas en Ciberseguridad para entender la naturaleza del ataque la psicología del atacante

La implementación

Dos entornos se pueden usar para la instalación

Una primera opción seria instalarlo físicamente en un computador o servidor dedicado obviamente tendrá su propia dirección IP

La segunda opción es un entorno virtual en el que se usa una maquina virtual dentro de un entorno físico y depende directamente de los recursos físicos que se tengan.

Clasificación de los honeypot

• Honeypot de interacción alta

Este tipo de servidor incluye todos los servicios y aplicaciones que son usadas por las empresas en su entorno corporativo, aunque es el mas cercano a la realidad debe estar en una DMZ que garantice que el atacante no llegará a su entorno real nunca.

Lo que se obtiene a cambio es toda la información del atacante y un análisis completo de su equipo si implementamos soluciones adicionales para identificar las amenazas

• Honeypot de interacción media

En este caso no se tiene el nivel de exposición que se tendría con un Honeypot de interacción alta. Se implementan algún tipo de servicios que no generen mayor relevancia como FTP, HTTP es decir la información que se lleva el atacante es muy básica.

• Honeypot de interacción baja

Los de esta clasificación son los honeypot mas sencillos y con otros servicios como TCP/IP, ICMP entre otros pero esto hará que la información que recolecte este honeypot es mínima comparado con el de Interacción alta.

La gran desventaja en este caso es que seguro un atacante con gran experiencia podrá darse cuenta que es un honeypot y echar a perder nuestras intenciones.

Sabias qué: ¿Un atacante puede durar mas de 150 días en nuestra red antes de atacarla?

Los honeypot nos permiten integrarlos a nuestro ecosistema de seguridad como los EPP, EDR, CDR y otro tipo de productos para protección de los endpoint.

De otra parte podemos usar IDS para generar alertas automáticas cuando el honeypot ha sido atacado

Deceptive Bytes

My IT Channel distribuye Deceptive Bytes producto que usa la decepción como tecnología principal basada en los honeypots

Este producto también otros componentes adicionales que no puede entregarnos un honeypot de código abierto.

Una opción que incluye: firewall, control de aplicaciones y la posibilidad de integrar Sandbox de terceros, consume solo 2 MB y no requiere actualizaciones o parches para operar, vea mas acá 

En conclusión, los honeypot nos permitirán descubrir ataques desconocidos o no detectados por nuestras herramientas de protección actual como antivirus o UTMs.

También nos permitiría conocer cuales son las vulnerabilidades actuales para tomar decisiones a futuro y crear estrategias que nos permitan ser mas eficaces en términos de Ciberseguridad.