top of page

Qué son los Honeytokens y por qué son el futuro de la detección

"Construir honeypots" fue uno de sus siete consejos para ayudar a las organizaciones a evitar algunos de los ataques.


honeytokens


Los honeypots son sistemas señuelo que se instalan para atraer a los atacantes y desviar su atención de los objetivos reales.

Suelen utilizarse como mecanismo de seguridad para detectar, desviar o estudiar los intentos de los atacantes de obtener acceso no autorizado a una red. Una vez que los atacantes interactúan con un honeypot, el sistema puede recopilar información sobre el ataque y las tácticas, técnicas y procedimientos (TTP) del atacante.


Aunque los honeypots son una solución eficaz para rastrear a los atacantes y evitar el robo de datos, todavía no se han adoptado de forma generalizada debido a sus dificultades de configuración y mantenimiento. Para atraer a los atacantes, un honeypot tiene que parecer legítimo y aislado de la red de producción real, lo que dificulta su configuración y ampliación para un equipo azul que quiera desarrollar capacidades de detección de intrusiones.


Pero eso no es todo. En el mundo actual, la cadena de suministro de software es muy compleja y está formada por muchos componentes de terceros, como herramientas SaaS, API y bibliotecas que a menudo proceden de diferentes vendedores y proveedores. Los componentes se añaden en todos los niveles de la pila de construcción de software, lo que desafía la noción de un perímetro "seguro" que hay que defender.


Honeytoken


Los honeytokens, un subconjunto de los honeypots, están diseñados para parecer una credencial o secreto legítimo. Cuando un atacante utiliza un honeytoken, se activa inmediatamente una alerta. Esto permite a los defensores tomar medidas rápidas basadas en los indicadores de compromiso, como la dirección IP (para distinguir los orígenes internos de los externos), la marca de tiempo, los agentes de usuario, la fuente y los registros de todas las acciones realizadas en el honeytoken y los sistemas adyacentes.


Con los honeytokens, el cebo es la credencial


Cuando se vulnera un sistema, los hackers suelen buscar objetivos fáciles para moverse lateralmente, escalar privilegios o robar datos. En este contexto, las credenciales programáticas, como las claves API de la nube, son un objetivo ideal para el análisis, ya que tienen un patrón reconocible y a menudo contienen información útil para el atacante. Por lo tanto, representan un objetivo primordial para que los atacantes las busquen y exploten durante una brecha.


Como resultado, también son el cebo más fácil de difundir para los defensores: pueden estar alojados en activos en la nube, servidores internos, herramientas SaaS de terceros, así como en estaciones de trabajo o archivos.


Por término medio, se tarda 327 días en identificar una violación de datos.

Mediante la difusión de honeytokens en múltiples ubicaciones, los equipos de seguridad pueden detectar las violaciones en cuestión de minutos, mejorando la seguridad de la cadena de suministro de software frente a posibles intrusiones. La simplicidad de los honeytokens es una ventaja significativa que elimina la necesidad de desarrollar todo un sistema de engaño.


A medida que la industria del software sigue creciendo, es esencial hacer la seguridad más accesible a las masas. Honeytokens ofrece una solución proactiva y sencilla para detectar intrusiones en la cadena de suministro de software lo antes posible.




Referencias y Créditos:
0 comentarios

Comments


bottom of page