L’ús d’un honeypot facilita la detecció d’una intrusió en un sistema real i ajuda a descobrir les tècniques dels atacants.

Els honeypots són eines que moltes organitzacions utilitzen per defensar-se de manera activa, mentre que els investigadors de ciberseguretat els usen per realitzar proves i descobrir les tècniques dels atacants. Poden ser una ajuda efectiva per exposar les vulnerabilitats, mostrar el nivell d’amenaça i proposar solucions de seguretat.

Què és un honeypot?

L’Institut Nacional de Ciberseguretat (INCIBE) defineix l’honeypot com una eina de seguretat que actua com a equip o sistema altament atractiu per un ciberdelinqüent. Per part seva, Kaspersky aclareix que una definició d’honeypot prové del món de l’espionatge, on es descriu que espies com Mata Hari utilitzen una relació romàntica per robar secrets, posant un “parany de mel” (honeypot en anglès).

Analitzant les diferents definicions, podem evidenciar que un honeypot és un sistema connectat a la xarxa i configurat com a cimbell per atreure els ciberatacants. La funció d’un honeypot és representar-se a si mateix a Internet per recopilar informació sobre els intents d’accés per part d’usuaris no autoritzats.

D’altra banda, els “paranys d’spam” s’utilitzen per atreure trànsit web d’spam al Projecte Honey Pot, una xarxa basada en web de honeypots incrustats en programari de llocs web. El seu objectiu és recopilar adreces IP, correus electrònics i informació relacionada amb els spammers perquè els administradors de llocs web puguin reduir al mínim la quantitat d’spam a les seves pàgines.

Com funcionen els honeypots?

Els honeypots solen utilitzar sistemes operatius reforçats amb mesures de seguretat addicionals. Ajuden a identificar l’entorn de ciberamenaces, encara que detectin només l’activitat dirigida a ells.

Solen estar configurats per enganyar l’atacant amb presumptes vulnerabilitats explotables. Atès que no hi ha cap raó perquè els usuaris legítims accedeixin a un honeypot, qualsevol intent de comunicar-se es considera hostil.

Una operació de honeypot utilitza un ordinador, aplicacions i dades que simulen el comportament d’un sistema atractiu pels atacants, com a dispositius de la Internet de les coses (IoT) o una xarxa de serveis públics o financers.

Tipus d’honeypots

Segons el seu disseny i desplegament, existeixen dos tipus principals d’honeypots: de producció i de recerca. Els honeypots de recerca analitzen de prop l’activitat dels hackers i el seu objectiu és descobrir com es desenvolupen per protegir millor els sistemes. A més, les dades col·locades en un honeypot poden ajudar als analistes a rastrejar les dades robades i identificar les connexions entre els diferents atacants.

Els honeypots de producció solen desplegar-se dins de les xarxes al costat dels servidors de producció. En aquest cas, els experts de TechTarget informen que el honeypot actua com a cimbell, allunyant als intrusos de la xarxa de producció com a part del sistema de detecció d’intrusions (IDS).

D’altra banda, els honeypots poden classificar-se en purs, d’alta interacció o de baixa interacció. Els més complexos són els honeypots purs, que es caracteritzen per ser realistes pels atacants i per facilitar la supervisen de l’enllaç a la xarxa.

Els honeypots d’alta interacció imiten les activitats dels sistemes de producció, allotjant una varietat de serveis. El seu objectiu és atreure a un atacant perquè obtingui accés root al servidor i, a continuació, supervisar la seva activitat.

Els honeypots de baixa interacció s’utilitzen normalment per detectar els bots i programari maliciós. Simulen els vectors d’atac més comuns a la xarxa, sent més fàcils de mantenir. L’inconvenient d’aquesta mena d’honeypot és que és més probable que sembli fals per un ciberatacant.

Avantatges dels honeypots

El benefici més gran d’un honeypot és la informació que proporciona enfront dels ciberatacs, amb la consegüent reducció de l’impacte de les incidències i un estalvi en termes de temps i esforç.

Els honeypots recopilen dades d’atacs reals i altres activitats no autoritzades, oferint als analistes una rica font d’informació. Les tecnologies de detecció de ciberseguretat ordinàries generen alertes que poden incloure un volum significatiu de falsos positius, mentre que un honeypot els redueix de manera considerable.

Dit això, un honeypot poden ser una bona inversió per una organització, ja que només interactua amb activitats malicioses i no requereix recursos d’alt rendiment per processar grans volums de trànsit de xarxa a la recerca d’atacs.

Des d’INCIBE destaquen que gràcies a aquesta eina podem avançar-nos, deixant un espai temporal per la creació d’accions de defensa. També aclareixen que la seva instal·lació no pot, en cap moment, reemplaçar la resta de les mesures de seguretat, però pot ser un gran complement preventiu que ens ajudi en la lluita contra la ciberdelinqüència.