30 honeypots para prevenir ciberataques
Un informe de ENISA recoge 30 trampas digitales o honeypots que los Equipos de Respuesta ante Emergencias Informáticas (CERT) pueden emplear para detectar ciberataques de forma preventiva de. El estudio expone los conceptos básicos de los honeypots y ofrece recomendaciones acerca de cuál utilizar.
Como continuación de su informe sobre Detección preventiva de incidencias de seguridad en redes, en el que se detectaba que, si bien los CERTs consideraban las trampas digitales o honeypots de utilidad para detectar e investigar ataques, su uso no está lo suficientemente extendido, ENISA ha publicado un nuevo estudio dedicado íntegramente a estos señuelos.
Y es que el creciente número de ciberataques complejos hace que los CERT necesiten una mayor capacidad para alertar de estos de forma precoz; un punto en el que los honeypots pueden serles de gran utilidad al atraer a los atacantes con un señuelo que imita un recurso informático real. Cualquier entidad que se conecta a un honeypot pasa a considerarse sospechosa y se controla su actividad en busca de actividad maliciosa.
El estudio ofrece estrategias de implementación prácticas y cuestiones críticas para los CERT. En total, se probaron y evaluaron treinta honeypots de diferentes categorías con el objetivo de proporcionar información acerca de qué soluciones de código abierto y tecnologías de honeypots son mejores para su implementación y uso. Asimismo, el documento identifica algunas desventajas y obstáculos para la implementación de los honeypots: dificultad de uso, documentación insuficiente, falta de estabilidad del software y de asistencia de los desarrolladores, poca normalización de estándares y la necesidad de técnicos altamente capacitados, así como problemas para la comprensión de los conceptos básicos de los honeypots. El estudio incluye una clasificación y estudia el futuro de esta tecnología.
“Si se implementan correctamente, los honeypots aportan ventajas considerables a los CERT: se pueden rastrear actividades maliciosas en la circunscripción del CERT para permitir alertas precoces de infecciones por malware, nuevas brechas, vulnerabilidades y actividades malware, además de suponer una oportunidad para aprender acerca de las tácticas de los atacantes”, explica el director ejecutivo de ENISA, Udo Helmbrecht, quien apostilla que “si los CERT en Europa valoran más los honeypots como una solución atractiva, podrían defender mejor sus circunscripciones”.
