Honeypots: el dulce que amarga a los ciberdelincuentes
Uno de los mayores retos que supone el avance de la digitalización del sector industrial es el de garantizar la seguridad de la información en las infraestructuras críticas. Hasta hace poco, las redes OT e IT de la industria permanecían separadas, lo que hacía más sencillo garantizar la seguridad en la red de operaciones. Hoy en día, por motivos de eficacia y reducción de costes, ambas redes coexisten, lo cual ofrece múltiples ventajas pero también hace a estas redes más propensas a sufrir ciberataques. Estos actos dirigidos a sistemas que ofrecen servicios esenciales, como plantas de energía, sistemas de transporte, hospitales, pueden crear un grave perjuicio, ya no solo a nivel económico para la propia organización sino también a nivel de salud para sus usuarios.
Son infraestructuras críticas las que están siendo atacadas desde la pandemia cada vez con más frecuencia, tal y como explica Israel Barak en este artículo. En España, hemos visto recientemente cómo miles de personas quedaron afectadas en Barcelona por el ataque sufrido en el hospital Clinic de Barcelona. Por esta razón, es esencial que las organizaciones implementen medidas de seguridad sólidas para proteger sus sistemas y sus redes industriales.
Un buen punto de partida para mejorar la seguridad en la organización es conocer los puntos débiles de la red industrial mediante herramientas complementarias de seguridad, como pueden ser los honeypots industriales. Estas herramientas han sido utilizadas en el proyecto FACENDO 4.0 de cara a mejorar la seguridad de la industria automovilística del futuro.
Dulces cebos para detectar vulnerabilidades
Los honeypots son sistemas informáticos diseñados para parecer vulnerables y atractivos a los atacantes, con el objetivo de que interactúen con ellos y estudiar las técnicas y comportamientos que utilizan. Al implementar honeypots industriales, las organizaciones pueden obtener una visión detallada de las amenazas que enfrentan, así como mejorar su capacidad para detectar y responder a los ciberataques.
Según Eric Cole, Ronald Krutz y James Conley , los honeypots son “sistemas diseñados para parecerse a algo que un intruso pueda atacar” y especifican que “son construidos para muchos propósitos; el principal, desviar los ataques y aprender de estos sin comprometer la seguridad de la red”. Es decir, los honeypots son dispositivos de seguridad cuya función es servir de señuelo a los ciberdelincuentes, y hacer que estos se mantengan alejados de los sistemas críticos de la organización.
A la hora de instalar un honeypot en la red hay que tener en cuenta sus tres principios básicos:
- Los honeypots no son sistemas de producción, por lo que no debe existir ningún tipo de interacción con ellos.
- Todo tráfico dirigido a un honeypot es potencialmente malicioso.
- Cualquier tráfico saliente implica que el honeypot ha sido comprometido.
El honeypot es una navaja suiza de la seguridad
Un honeypot desplegado en una red industrial ayuda a resolver múltiples problemas de seguridad. Por un lado, permite detectar amenazas antes de que puedan causar un daño real al atraer a los atacantes a un entorno controlado, de tal forma que el equipo de seguridad pueda analizar las técnicas utilizadas para mejorar la defensa contra futuros ataques. Además, permite proteger los activos críticos de la organización al atraer a los atacantes hacia entornos controlados y lejos de los sistemas reales. Otra de las ayudas que brindan a la seguridad del sistema los honeypots es que, después de registrar un ataque, proporcionan información forense que puede ser analizada por el equipo de seguridad. Esto permitirá identificar la fuente de ataque y fortificar el sistema frente a daños, así como posibles vulnerabilidades en la red industrial.
La vulnerabilidad real del honeypot
A pesar de las ventajas que ofrece el uso de honeypots en la seguridad de una organización, hay que tener en cuenta que también presentan desventajas. Cabe la posibilidad de que el honeypot sea identificado como tal por los atacantes y éstos eviten interactuar con él o, por el contrario, que el atacante interactúe con él y genere información falsa que pueda llevar a engaño a un analista, o incluso ataque al propio honeypot. Es importante destacar además que existe el riesgo de que si un honeypot no está correctamente configurado, el atacante se apodere de la máquina y pueda realizar ataques laterales contra otros activos de la organización.
Tres tipos de honeypots
Habitualmente, los honeypots se clasifican en base al tipo de interacción que ofrecen al ciberatacante. Se puede diferenciar entre honeypots de baja, media o alta interacción. Este nivel de interacción es importante porque va ligado a las posibilidades existentes de que sea descubierto como sistema emulado, a la cantidad de información que se puede recoger y el riesgo que está dispuesto a asumir por parte de la organización.
Honeypots de baja interacción
Los honeypots de baja interacción simulan un servicio en concreto y permiten al atacante una interacción básica con ellos, muestra normalmente determinados puertos disponibles, aunque con limitaciones. Entre sus principales ventajas se encuentra su facilidad para ser instalados y configurados; por contra, suelen ser fácilmente detectables y aportan poca información. Algunos de los honeypots de este tipo son los conocidos como HoneyD, Dionaea o Nepenthes.
Honeypots de interacción media
Los honeypots de interacción media buscan una solución de compromiso entre los de interacción baja e interacción alta, son fáciles de desplegar a la vez evitan los riesgos que introducen los de alta interacción y subsanan las limitaciones de los de baja interacción. Son capaces de capturar diferentes muestras de malware que se intentan cargar en los dispositivos por parte de los atacantes. Algunos ejemplos de este tipo de honeypots son Kippo y Cowrie.
Honeypots de alta interacción
Los honeypots de alta interacción son dispositivos reales a todos los efectos, con un sistema operativo y servicios configurados, por lo que no deben considerarse como un producto que se instala en un sistema. Se componen de un conjunto de herramientas, una arquitectura o una red completa de sistemas que se despliegan para ser atacados. A pesar de los esfuerzos de integración y mantenimiento que suponen, se ha de tener en cuenta que son los más atractivos para los atacantes ya que permiten realizar todo tipo de acciones sobre ellos. Son los que más información pueden recabar y, por tanto, los más útiles desde un punto de vista de investigación. Algunos ejemplos de este tipo de honeypots son HonSSH o Shiva.
La importancia de la ubicación
Además del tipo de interacción escogida, estos sistemas brindarán más o menos información dependiendo de donde estén ubicados. Así, si se despliega un honeypot en la red externa se espera que los ciberatacantes interactúen más con el sistema y, por lo tanto, la información obtenida será más valiosa para reforzar la red de la organización. Al estar desplegados en una red externa, la información recopilada por los honeypots no se verá alterada por elementos internos como IDS o firewalls que puedan modificar o bloquear las acciones maliciosas. Por otra parte, en caso de que el honeypot sea comprometido, la red interna no debería verse afectada.
Gracias a las propiedades y funcionalidades que nos ofrecen, se puede considerar a los honeypots como herramientas valiosas de cara a mejorar la seguridad en la red. Aunque sus resultados son útiles para el experto, es recomendable su uso en conjunto con otras medidas de seguridad.
En Gradiant trabajamos con los datos procedentes de los honeypots para clasificar con técnicas de Machine Learning los distintos tipos de ataques recibidos, así como poder predecir el volumen de ataques que recibirá una determinada organización. De esta forma, aprovechamos todos los datos que nos brindan para incorporarlos a la Industria 4.0.
Autor: Araceli Goiriz Seoane, Ingeniera-Investigadora del área de Seguridad y Privacidad en Gradiant
Facendo 4.0 (Competitividad Industrial y Electromovilidad a través de la Innovación y la Transformación Digital) es el proyecto puesto en marcha por Stellantis Vigo, en el marco de la cuarta convocatoria de ayudas del Programa de la Fábrica Intelixente de la Xunta de Galicia, con el objetivo de contribuir a incrementar la competitividad y reforzar el tejido empresarial del Sector de Automoción de Galicia.