PWNEDCR 0x3

Uso de canarios para la protección de redes
2020-12-05, 15:45–16:03, Main Track

Uno de los mayores problemas en muchas organizaciones es la falta de capacidad de detección para movimiento lateral. Sabemos que una intrusión va a ocurrir en algún momento, pero la verdadera incógnita es ¿si se tienen las herramientas para su detección?

Una herramienta que se ha destacado para este propósito es el honeypot, del que Canary by Thinkst es muy apreciado. Pero tal vez no está en las posibilidades de la compañía gastar varios miles de dólares para una implementación empresarial o desee ejecutar una en su entorno doméstico. Afortunadamente, Thinkst ofrece una implementación de código abierto del canary llamado opencarnary. Puede que no tenga la misma interfaz visual premium que su contraparte pagada, pero lo que sí ofrece es un agente de alerta bastante sólido para el movimiento lateral.


La administración eficaz de la seguridad de una red depende en gran medida de la comprensión de las amenazas existentes y emergentes en Internet. Confiar sólo en líneas de defensa tradicionales como los sistemas de detección de intrusiones (IDS) y los firewalls dinámicos no proporciona una cobertura holística sobre la detección de novedades y patrones emergentes de ataques [1].

El principio de “honey traps” o trampas de miel se ha utilizado a través de los años, y en muchas disciplinas. En ámbitos como el espionaje y la policía las llamadas “honey traps” o trampas de miel se han utilizado por décadas para atraer a objetivos en relaciones o acciones que puedan comprometer sus actividades o el conocimiento que poseen.

En el ámbito de ciberseguridad, el principio de la trampa de miel se ha utilizado con éxito en la seguridad reactiva de redes. Básicamente, lo que parecen ser activos estratégicos o de alto valor se despliegan a lo largo de una red y se monitorean para detectar las alertas que activan cuando posibles atacantes intentan acceder a estos.

See also: Paper