Honeypot, una herramienta para conocer al enemigo
Durante los últimos años han surgido diversos proyectos de honeypots, sistemas hardware o herramientas software que simulan ser equipos vulnerables para poder exponerlos sin ningún riesgo y permitir el análisis de todos los ataques efectuados sobre ellos. La mayoría de estos proyectos son desarrollados para entornos TI, pero también han surgido unos cuantos proyectos de honeypots para entornos TO, como son Conpot o GasPot entre otros.
Estos honeypots han ido evolucionado y actualmente se implementan en forma de honeynets, redes enteras de honeypots que simulan sistemas completos, permitiendo así recabar mucha más información sobre los ataques.
Los honeypots se pueden categorizar en función del grado de complejidad que requiere su implementación y, por lo tanto, de la interacción que le permiten al atacante. De este modo, un honeypot se categoriza como de baja interacción cuando trabaja únicamente emulando servicios y sistemas operativos, estos son los más fáciles de utilizar y mantener y su riesgo es prácticamente nulo. Por desgracia, suelen resultar fáciles de identificar por el atacante y normalmente son blanco de ataques automáticos o automatizados, por lo que la información que registran es bastante limitada. Además, los honeypots categorizados como de alta interacción son, normalmente, aplicaciones reales corriendo en sistemas reales, por este motivo, la información que se puede obtener de los atacantes es mucho mayor que los de baja interacción. En cambio, como desventaja, los atacantes podrían utilizar el honeypot como punto de entrada al resto de sistemas y, por lo tanto, requieren de una configuración de seguridad adicional para evitar que ningún sistema se pueda ver comprometido.
Honeypots en SCI
La gran cantidad de elementos de sistemas TO que se encuentran expuestos en Internet y que son fácilmente localizables a través de metabuscadores como Shodan y Censys, evidencian la carencia de mecanismos de seguridad suficientes en ellos (ej: comunicaciones cifradas, doble factor de autenticación, etc.). Por este motivo, es conveniente obtener toda la información posible sobre los atacantes, su metodología, objetivos potenciales y sistemas de interés, de esa forma podremos anticiparnos a los posibles ataques y aumentar nuestro nivel de respuesta ante cualquier incidente cuando éste se produce.
Una buena forma de obtener esa información es mediante la implantación de un honeypot, procurando siempre que se ajuste a nuestras necesidades y teniendo presentes algunas consideraciones, como por ejemplo:
- Que sea lo más completo posible, para evitar que el atacante lo detecte como tal y evite caer en la trampa. Algunas herramientas automatizadas ya disponen de detectores de honeypots, como honeyscore de Shodan, que es capaz de identificar si una ip pertenece a un honeypot, asignándole una puntuación según la probabilidad que ellos determinan de que lo sea.
- Que resulte lo más atractivo posible para usuarios maliciosos y que, de esta manera, aumenten las probabilidades de que lo ataquen. La dificultad para ser atacado debe encontrarse en un punto intermedio entre algo demasiado simple, que se note que no es real, y algo demasiado complicado, que haga perder el interés al atacante. De esta forma, los atacantes nos dejarán más información sobre su metodología.
- Que simule la red industrial entera, lo cual implica hacerlo en cada uno de los distintos elementos que conforme la red, para desplegar una honeynet y obtener la mayor cantidad de información posible.
Ejemplos de Honeypots para sistemas de control
¿Te ha convencido la propuesta de usar un honeypot para mejorar la seguridad de tus sistemas de control? No tienes por qué empezar de cero, ya existen varias alternativas que pueden ayudar a un fácil y rápido despliegue de la solución en un sistema de control.
Algunos de ellos son:
- Conpot es un honeypot de sistemas de control industrial de baja interacción diseñado para ser fácil de implementar, modificar y ampliar. Al proporcionar una amplia gama de protocolos industriales comunes, permite la creación de los elementos básicos para que se pueda construir casi cualquier sistema. Actualmente se encuentra integrado dentro del Honeynet Project.
- Gridpot es un honeypot de código abierto que simula un SCADA de red eléctrica de forma realista. Gridpot es una combinación del honeypot Conpot y el simulador de redes eléctricas GridLAB-D. Esta combinación permite que este honeypot adquiera todas las ventajas de adquisición de datos de Conpot y un entorno de simulación con múltiples modelos que le aportan gran realismo gracias a GridLAB-D.
- GasPot es un honeypot que ha sido diseñado para simular un medidor de tanque modelo Guardian AST del fabricante Veeder Root. Estos medidores son comunes en la industria petrolera para ayudar a medir el nivel de combustible. GasPot fue diseñado para ser lo más aleatorio posible para que dos instancias no sean iguales. Es de código libre y se puede descargar desde su repositorio en github.
- iHoney es un proyecto de investigación realizado en 2017 por el Ministerio de Industria, Energía y Turismo de España en colaboración con S2 Grupo. En este proyecto se simuló completamente una planta de tratamiento de aguas incluyendo todos los posibles elementos que podrían conformar una planta real para poder recabar la máxima información posible sobre los ataques reales que pueden recibir este tipo de instalaciones.
Ventajas e inconvenientes
Cada sistema de control industrial es diferente, por lo que hay que tener en cuenta que implantar un honeypot que simule correctamente cada sistema es una tarea difícil, aunque los beneficios de la implantación son muchos:
- Distracción para los atacantes, ya que creen que están atacando un sistema real cuando en realidad no es así.
- Obtención de información sobre quién quiere dañar tu sistema de control industrial, la metodología que usa, y que herramientas puede estar usando.
- Sirve como herramienta para testear la seguridad que posee el sistema. Si el honeypot simula fielmente la seguridad actual que posee el sistema, puede ser utilizado en un pentesting para analizar la seguridad de manera que no haya impacto alguno en el proceso industrial real.
- Puede servir para frustrar a los atacantes y disuadirles de atacar más sistemas.
Pero hay que tener en cuenta que los honeypots también presentan una serie de inconvenientes a la hora de su implantación:
- La primera contraindicación que plantean es saber si estamos seguros de querer atraer ataques a nuestra red, ya que si el honeypot no está correctamente configurado, puede servir como punto de entrada, lo cual sería un problema serio, ya que en vez de dificultar el acceso a los atacantes se les facilita el mismo.
- El segundo problema es que para implantar un honeypot se requieren equipos extra, con el consecuente coste, ya se trate de software y hardware real o simulado.
- La dificultad de disponer de una simulación realista de dispositivos TO es otro inconveniente, ya que si queremos recibir un ataque, debemos de parecer lo suficiente reales para engañar al enemigo.
- Otro contrapunto es que, si de verdad se desea obtener información y aprovecharla para mejorar la seguridad, se necesita incorporar personal necesario que realice la monitorización del honeypot y el análisis de la información obtenida del mismo.
Conclusiones
Los honeypots son una herramienta muy potente para el análisis y la defensa, también en el ámbito de los sistemas de control industrial, siempre y cuando presenten una configuración de seguridad correcta para evitar que sirvan de punto de entrada de amenazas y se tengan en cuenta todas sus ventajas e inconvenientes. Como se ha podido ver en el artículo, ya existen varias alternativas libres de honeypots industriales disponibles para todo el mundo, así que, ¿a qué esperas para instalar uno?