Los desafíos del uso de Inteligencia Artificial pa...

Más allá de su popularidad y beneficios, la Inteligencia Artificial también tiene retos a ser considerados cuando se trata de seguridad digital.

Guía rápida del uso de miel para prevenir ataques

Guía rápida del uso de miel para prevenir ataques

En un reciente episodio de la mundialmente famosa serie animada Rick y Morty (temporada 5, episodio 2), el par conformado por el científico loco y su nieto adolescente inician una aventura que esta vez, como casi todos los buenos capítulos de la serie, incluye a toda la familia.

Sin hacerte spoilers, la familia Smith entra esta vez en un círculo vicioso: lo que inicia como una escena típica en la que todos están reunidos compartiendo una cena que es interrumpida por individuos anónimos que los asesinan, sorprende al momento de ver a otro Rick que recibe una alerta una vez la familia es asesinada. “Oh no, acaban de asesinar a la familia señuelo”, afirma el abuelo.

Todo luego se torna en un episodio que puede entrar en el salón de la fama de los mejores de la serie en donde el misterio de cuál familia es señuelo y cual es la real es siempre el hilo conductor. Reiteramos: debes ir a ver el episodio. Pero mientras eso sucede, también queremos transmitir un mensaje claro: tú también deberías usar señuelos.

Rick-and-Morty
El episodio de señuelo de la temporada 5 de Rick y Morty

Con miel atraes más

La familia Smith fue, en resumen, un Honeypot, o “tarro de miel”, como traduce literalmente. En el mundo de la informática, los honeypots cumplen la misma función: simulan ser parte de la red, pero su principal objetivo es ser víctima de un ataque en entornos que ya están planeados para ello.

Es evidente que el honeypot debe ser lo suficientemente creíble para que atraiga la atención del ciberdelincuente, por eso debes establecerlo con ciertas funcionalidades que imiten las que tiene la red normal dentro de tu organización. Los servicios web, las bases de datos, o los servicios de red son una buena forma de imitar un equipo activo de la red.

La efectividad de los señuelos informáticos es incuestionable ya que además de prevenir claramente un ataque que puede ir dirigido directamente a un equipo real, también permite analizar al atacante. Estas son las principales funciones de los honeypots para tu análisis profundo:

  • Investigación: los delincuentes digitales siempre están a la vanguardia para atacarte. Puedes prevenirte sobre lo que ya conoces, pero no sobre lo desconocido. Con un honeypot puedes ver cuáles son las nuevas formas de ataques y prepararte para ello.
  • Detección: al posicionar tu honeypot en un entorno que pueda recibir ataques dentro de tu arquitectura de red, puedes configurar ese entorno para que pueda analizar todos los pasos del ataque. También puedes facilitar cierto tipo de interacción con el atacante para que puedas tener más información sobre este y rastrearlo.
  • Satisfacción: una gran sonrisa en tu cara cuando frustres los deseos del atacante con un señuelo del que no podrá sacar realmente nada, y podrá perder mucho.

 

Captura-de-Pantalla-2021-06-28-a-las-9.43.23-a.-m.
Hay tres casos en los que puedes usar Honeypots de forma más efectiva, Morty

¿Cuándo usarlos?

Hay tres casos en los que puedes usar tarritos de miel de forma más efectiva:

Creación de listas negras

Al ubicar tu tarrito de miel por detrás o por delante de la primera barrera de protección de tu red y en un rango donde no esperes ningún tipo de tráfico corporativo, cualquier acceso será muy sospechoso. Puedes tomar las direcciones que intentaron acceder allí, añadirlas a la lista negra de tu sistema de seguridad, y así bloquear todo tipo de acceso que provenga de ese sitio.

Complemento de IDS/IPS

Descarta falsos positivos complementando tus dispositivos de prevención y detección de intrusiones con tu honeypot. La información relevante que arroja la combinación de ambos te permite protegerte por varios frentes.

Replicación

Replicar cualquier producto de tu sistema con un honeypot traerá enormes beneficios, ya que con un honeypot es más fácil detectar un ataque que quiere analizar toda la arquitectura de red y los servicios que tu empresa presta. Esto es lo opuesto a utilizar un Firewall, ya que estos pueden determinar erróneamente que un ataque es tráfico.

Como todo producto dulce y atractivo, tus tarritos de miel deben ejecutarse en entornos cuidadosamente cuidados. Debes garantizar un administrador de confianza para él, actualizar constantemente el software, proteger los canales de comunicación entre el honeypot y la red real, segregación de la red para permitir una ubicación segura del señuelo, y una política de seguridad de la información que soporte todo lo anterior con una estrategia establecida.

rick-and-morty-s5-1625139647
El honeypot debe ser lo suficientemente creíble para que atraiga la atención del ciberdelincuente

Amenazas

Todo producto informático tiene sus potenciales amenazas, y los honeypots no se salvan. Para disminuir esto, te recomendamos que verifiques que todo producto Honeypot que adquieras esté alineado con la normatividad CC (Common Criteria) que garantizará requisitos mínimos de seguridad. Sin embargo, presta atención a estos riesgos latentes de su uso:

El atacante puede tener acceso a información no autorizada.

El atacante logra infiltrarse hasta un punto de conexión de la infraestructura y logra hacer una escucha de toda la red.

El cifrado programado para el ataque que se va a recibir es tan débil que el atacante logra comprometer toda la red real.

Implementación de malos protocolos estandarizados o no, que logran que el atacante acceda más allá de los puntos pensados para su ataque.

Una actualización dañina del producto, o una administración no autorizada del mismo, pueden crear brechas de seguridad grandes.

Requisitos

Para finalizar, te dejamos los requisitos que debes tener en cuenta para instalar tu honeypot de forma segura en tu red. Esperamos que con esto te des cuenta de la importancia de usar señuelos, ya que si Rick lo hace, es algo que hasta tu jefe te agradecerá. Y tu jefe muy seguramente, al contrario de Rick, no es el hombre más inteligente del universo.

  1. Verifica que cualquier honeypot tenga alguno de los siguientes requisitos de protección CC:
    PERFILES DE PROTECCIÓN
    Perfil de protección Versión Fecha Organismo responsable
    Collaborative protection profile for Network Device5 2.2e 27/03/2020 CCDB
    Collaborative protection profile for Network Device6 2.1 24/09/2018 CCDB
    Collaborative protection profile for Network Device7 2.0 + Errata 20180314 14/03/2018 CCDB
    Collaborative protection profile for Network Device8 1.0 27/02/2015 CCDB
  2. En caso de que el producto no esté certificado contra ninguno de los perfiles anteriores, la declaración de seguridad deberá contener al menos los SFR (Security Functional Requirements) de Collaborative Protection Profile for Network Devices V.2.2e con un nivel de confianza EAL (Evaluation Assurance Level) EAL2 o superior
  3. Debe permitir anonimizar la información que ha quedado expuesta.
  4. El producto no requerirá de interfaces con servicios ubicados en redes protegidas de la organización.
  5. El honeypot debe ser capaz de aportar evidencias de la integridad de todos los datos recopilados.
  6. Proporciona una forma de acceso legible a los registros de auditoría para facilitar su revisión a los usuarios autorizados.
  7. Genera un informe de errores muy detallado, en caso de que los hubiera.
  8. No facilitará ningún tipo de información comercial o publicitaria accesible a un atacante que permita identificar su condición como producto honeypot/ honeynet.
BBB
Escrito por: BBB

Nada fuera de lo anormal, como tú, vamos. ;)

Suscríbete al #Blog

Al suscribirte te enviaremos un boletín cada semana con la información más relevante. Tendrás acceso a contenidos exclusivos para suscriptores
Publicaciones relacionadas
Los desafíos del uso de Inteligencia Artificial para la Ciberseguridad


Más allá de su popularidad y beneficios, la Inteligencia Artificial también tiene retos a ser considerados cuando se tra...
Cómo garantizar las comunicaciones seguras con una Centralita Virtual

Descubre las principales amenazas en las comunicaciones empresariales y cómo protegerte con una Centralita Virtual.
Centralita y Centralita Virtual: Descubre las comunicaciones empresariales modernas

Descubre cómo la tecnología de las centralitas virtuales está redefiniendo la eficiencia y experiencia en las comunicaci...

Suscríbete al #Blog

Al suscribirte te enviaremos un boletín cada semana con la información más relevante. Tendrás acceso a contenidos exclusivos para suscriptores
bitmap-2