Jaque a la ciberdelincuencia: Sandboxing, Honeypots y Security Deception

Las redes, los ciberataques y las estrategias utilizadas para detenerlos evolucionan continuamente. Security Deception es una táctica emergente de ciberdefensa que permite a los investigadores y a los profesionales de la seguridad de la información observar el comportamiento de los ciberdelincuentes, una vez que han accedido a lo que creen que es una red comercial.

El término ”security deception” se ha empezado a popularizar en el último año, por lo que es difícil diferenciarlo de otras herramientas que intentan engañar o servir de señuelo a los atacantes, como Sandboxing y Honeypots. Al igual que otras tácticas, Security Deception engaña a los atacantes y a las aplicaciones maliciosas para que se revelen contra sí mismos, de modo que los investigadores puedan idear defensas efectivas contra ellos, aunque depende más de la automatización y de la escala, y requiere menos experiencia para configurar y administrar. Cada una de estas tecnologías tiene requisitos únicos y su utilización está recomendada para determinados tipos casos. Para entender cuáles son, es necesario verlas con más detalle.

Sandboxing

La necesidad de analizar el tráfico de red y los programas ha existido desde los albores de las redes. El sandboxing, introducido en la década de 1970 para probar aplicaciones de Inteligencia Artificial, permite que el malware se instale y ejecute en un entorno cerrado, donde los investigadores pueden monitorizar sus acciones para identificar posibles riesgos y contramedidas. Actualmente, el sandboxing efectivo se desarrolla con mayor frecuencia en máquinas virtuales dedicadas en un host virtual. Esto permite que el malware sea probado de forma segura contra versiones diferentes del sistema operativo en máquinas segregadas de la red. Los investigadores de seguridad usan sandboxing cuando analizan malware, mientras que muchos productos antimalware avanzados lo utilizan para determinar si los archivos sospechosos son verdaderamente maliciosos en función de su comportamiento. Este tipo de soluciones antimalware son cada vez más importantes porque gran parte del malware moderno está escondido para evitar el antivirus basado en firmas.

La mayoría de las empresas no son capaces de realizar análisis de malware con el mismo nivel de sofisticación y experiencia que un investigador o proveedor dedicado. Las empresas más pequeñas son las que más se benefician del despliegue del sandboxing como servicio de un proveedor que ya cuenta con implementaciones que pueden automatizar todo el proceso.

Honeypots

Honeypots y honeynets son sistemas deliberadamente vulnerables que están destinados a llamar la atención de los atacantes. Los honeypots son hosts únicos que atraen a los atacantes para intentar robar datos valiosos o ampliar el alcance de la red objetivo. La idea que hay tras las honeynets, que comenzó a circular en 1999, es comprender el proceso y la estrategia de los atacantes. Las honeynets están formadas por múltiples honeypots, a menudo configurados para emular una red real (una red completa con un servidor de archivos, un servidor web, etc.) para que los atacantes crean que se han infiltrado con éxito en una red. Sin embargo, en realidad están en un entorno aislado, bajo la atenta observación de un microscopio.

Los honeypots permiten a los investigadores observar cómo se comportan los verdaderos agentes de amenaza, mientras que el sandboxing revela solo cómo se comporta el malware. Los investigadores y analistas de seguridad normalmente utilizan honeypots y honeynets para este propósito. Tanto los investigadores como los profesionales de TI y seguridad que se preocupan por la defensa pueden utilizar esta información para mejorar la seguridad de su organización al observar nuevos métodos de ataque e implementar nuevas defensas que se adapten a sus necesidades.

Las honeynets también harán perder el tiempo a los atacantes, contribuyendo a que abandonen el ataque por frustración. Esto es más útil para las organizaciones gubernamentales y las instituciones financieras que a menudo son atacadas por hackers, pero cualquier negocio se beneficiará de una red trampa. Las pymes también pueden beneficiarse, dependiendo de su modelo de negocio y de su situación de seguridad, aunque en la actualidad la mayoría de las pymes no cuentan con un experto en seguridad capaz de establecer o mantener un honeypot.

Cyber Deception

La idea central del concepto de cyber deption o Security Deception fue abordada por primera vez en 1989 por Gene Spafford de la Universidad de Purdue. Algunos sostienen que se refiere a honeypots y honeynets modernos y dinámicos y, básicamente, es correcto. Security Deception es un término nuevo y, por tanto, la definición no está establecida uniformemente, pero en general apunta a una gama de productos más avanzados que ofrecen más automatización, tanto para la detección como para la implementación de defensas basadas en los datos que recogen.

Es importante tener en cuenta que en las tecnologías de engaño existen diferentes niveles. Algunos son poco más que un honeypot, mientras que otros imitan redes completas que engloban datos y dispositivos reales. Los beneficios incluyen la capacidad de falsificar y analizar diferentes tipos de tráfico, de imitar más de cerca una red interna y de proporcionar acceso falso a cuentas y archivos. Otros productos de decurity deception se pueden implementar automáticamente, se puede mantener a los atacantes ocupados en bucles de acceso para obtener más información, así como dar a los usuarios respuestas más detalladas y realistas sobre los atacantes. Cuando un producto de engaño de seguridad funciona según lo previsto, los hackers realmente creen que se han infiltrado en una red restringida y están recopilando datos críticos. Es cierto, estarán accediendo a los datos, pero solo a la información que se pretende que vean.

Security deception está todavía en pañales, por lo que, como sucede con la mayoría de las nuevas tecnologías de seguridad, es una herramienta de nicho para las grandes empresas que se moverá gradualmente hacia abajo en el mercado. Estas herramientas son particularmente relevantes para objetivos de alto perfil, como instalaciones gubernamentales, instituciones financieras y empresas de investigación. Las organizaciones necesitan un analista de seguridad para estudiar los datos de las herramientas de security deception, por lo que las empresas más pequeñas que no tienen personal de seguridad especializado normalmente no podrían aprovechar sus beneficios. En este sentido, las pymes pueden beneficiarse de la contratación de proveedores de seguridad que ofrecen análisis y protección como servicio.

Todas estas tecnologías de seguridad tienen su rol en el panorama de prevención y análisis. En un nivel alto, el Sandboxing implica instalar y permitir que se ejecute malware para la observación del comportamiento; mientras los Honeypots y las redes se centran en el análisis de los actores amenazantes, realizando reconocimientos en una red infiltrada. Por su parte, Security Deception es la concepción más reciente de detección y prevención de intrusiones avanzadas. Las tecnologías engañosas ofrecen honeynets más realistas que son más fáciles de implementar y brindan más información a los usuarios, pero exigen de mayores requisitos presupuestarios y de experiencia que generalmente restringen su uso a las grandes empresas … al menos por el momento.