Honeypots industriales

Publicado el 23/03/2017, por INCIBE
Honeypots industriales

Cada vez más analistas de seguridad recurren a los honeypots para obtener información sobre las técnicas utilizadas en los intentos de vulneración de las redes de comunicaciones.

Un honeypot es una herramienta especialmente diseñada para servir como trampa contra posibles atacantes. Los honeypot tienen la capacidad de simular un servicio o un dispositivo con el objetivo de atraer hacia él acciones que posteriormente serán analizadas. En ocasiones, dispositivos reales pueden ser utilizados como honeypot para ahorrar tiempo en el desarrollo. Los honeypot, tanto reales como simulados, suelen crearse con vulnerabilidades para atraer a los atacantes.

Suele ser más común encontrar honeypots con características de entornos TI, pero, dada la creciente cifra de ataques que sufren los sistemas de control industrial, algunos expertos creen oportuno incorporarlos en estos entornos para poder detectar vectores de ataque. Como ya han comprobado hace tiempo en países como Ucrania, la anticipación y detección de ataques en sistemas industriales evitaría males mayores, como los ocasionados por BlackEnergy o Stuxnet.

La sofisticación de amenazas persistentes o malware a nivel industrial es tal que, hoy en día, su detección puede ser un trabajo muy complejo. Una de las opciones para poder detectar dichas anomalías en el sistema puede ser el uso de honeypots, controlando siempre la interacción y el contacto que tienen con la red real.

Tipos de honeypot

Tradicionalmente las honeypots se clasifican en honeypots de alta y baja interacción, aunque es posible encontrar clasificaciones con más niveles según la interacción con los atacantes. Como se refleja en la siguiente taxonomía.

taxonomía honeypots

tabla de honeypots (alta y baja interacción)

Además de la interacción, debemos tener en cuenta el dispositivo o servicio que se va a simular. Si nos encontramos en un sistema industrial perteneciente al sector eléctrico, el uso de un honeypot que simule un dispositivo utilizado en otro sector puede alarmar a los atacantes que intenten acceder y detectar fácilmente que se trata de una trampa. También es importante cuidar detalles como direcciones físicas (MAC), direccionamiento IP, banners, fingerprinting de navegadores para accesos a paneles web, etc., ya que existen servicios, como el proporcionado por shodan, en el que chequeando una IP se puede averiguar si corresponde a un honeypot o a un sistema real.

Honeypot or Not? SHODAN

- Servicio de shodan que muestra si la IP esconde un honeypot o no -

Uno de los honeypot más utilizados para simular dispositivos industriales es conpot. Este honeypot se caracteriza por el número de serie que posee el módulo, 88111222, y el tipo de módulo, IM151-8 PN/DP CPU. Por lo que si se detectan estos valores se podrá identificarlo como un dispositivo falso.

banner de conpot en shodan

Otros honeypots utilizados en entornos industriales son:

  • gridpot: Herramienta de código abierto para la simulación de redes eléctricas.
  • GasPot: Simulador de Veeder Root Gaurdian AST, un medidor común en el sector de petróleo y gas para los tanques de gasolineras.

En ocasiones un honeypot no es suficiente y se utilizan honeynets para atraer a los atacantes. Una honeynet simula una red completa. Con ellas es posible generar tráfico ficticio, pero éste no debe afectar al tráfico real de los sistemas industriales para evitar lecturas falsas o retardos en las comunicaciones. Algunas honeynets específicas de entornos industriales son:

  • SCADA-honeynet: Honeynet de DigitalBond que utiliza 2 máquinas virtuales, aunque también permite la utilización de un dispositivo físico. Una de las máquinas tiene el sistema de monitorización de la red, WallEye, y firmas de QuickDraw para IDS. La segunda simula un PLC con servicios expuestos para los atacantes.
  • SCADA HoneyNet Project: Proyecto de Venkat Pothamsetty y Matthew Franz para la simulación de PLC virtuales que se basa en el uso de honeyd, un demonio utilizado para la simulación de equipos de diferentes sistemas operativos y con diferentes servicios..

Cuestiones a tener en cuenta

Además de los detalles ya comentados, el uso de honeypot requiere tener presentes las siguientes cuestiones:

  • El objetivo de los honeypots es detectar ataques gracias a la simulación o puesta real de sistemas o dispositivos para posteriormente analizar los datos obtenidos. Por ello, es necesaria una implementación de respuestas frente a ataques y una monitorización de los datos a analizar.
  • El tipo de honeypot que queremos implementar en nuestro sistema y la ubicación que se le va a dar al mismo también son detalles a tener en cuenta. En el caso de exponer el honeypot a Internet, será necesario segmentar la red para evitar salto entre redes y que el atacante pueda obtener más información de la que deseamos.
  • Puede llegar a existir una responsabilidad legal en el despliegue de una honeypot que es necesario analizar y tener en cuenta. Por ejemplo, si nuestra honeypot es de alta interacción, o incluso si utilizamos un dispositivo real, el atacante tiene la posibilidad de utilizar este sistema para realizar ataques a otros ajenos a nuestra red, y eso puede convertirse en un problema legal. Es muy importante que nuestra honeypot tenga filtrado el tráfico de salida para evitar esto.
  • Es importante realizar una revisión y mantenimiento del honeypot para que esté completamente operativo y cumpla las funciones para las que fue desplegado.

camino honeypot

En general, supone una práctica con la que obtener una visión de los ataques que sufre un sistema y la generación de un registro de logs para posteriormente crear reglas en sus dispositivos de seguridad (cortafuegos, IDS, IPS, etc.) sin la necesidad de realizar una gran inversión.

Consideraciones para desplegar un honeypot

Algunos ejemplos de guías para el despliegue de honeypot de forma sencilla y rápida son:

Ahora que conoces un poco más los honeypots, ¡anímate a desplegar uno y descubrir lo que pasa por tu red!