• Tweet

Servidores de anzuelo conocidos como honeypots se usan para investigar y descubrir nuevas amenazas y atraer ataques lejos de los servidores de prodicción. Ahora, con los nuevos dispositivos híbridos pueden mejorar la precisión de la detección.

Investigadores en la Univeridad de Pennsylvania y de la Universidad de Columbia han revelado una nueva arquitectura que expande a los sistemas tradicionales de prevención de intrusiones (IPS) y los sistemas de detección (IDS) revalidando el tráfico que fue detectado y clasificado como anormal, con honeypots que comparten las búsquedas.

"Esto combina las mejores características de los honeypots y de los sistemas de detección de anomalías", dijo en una audiencia Stelirs Sidiroglou, profesor de la Universidad de Columbia, la semana pasada en el Simposio de Seguridad Usenix en Baltimore.

Normalmente los honeypots se usan para determinar ataques en contra de vulnerabilidades conocidas en los programas de los servidores de interés, no para las vulnerabilidades no conocidas (día cero). Los sistemas de detección de anomalías (ADS), tales como algunos IPS, ofrecen capacidades de búsqueda amplia para detectar ambos tipos de ataques, pero, como es normal, se crean más lecturas falsas.

"Honeypots Sombra", como los invetigadores los llaman, comparten todas sus caracteríasticas de proteger las aplicaciones mientras están funcionando en el servidor y en el cliente de una red y operan en conjunto con un ADS. Cuando los sensores detectan algo sospechoso, se envía al honeypot "sombra" para análisis posteriores. Esto reduce el número de falsos positivos que se generan por el ADS. Como respaldo, el tráfico enviado se revisa aleatoriamente por el honeypot de refuerzo para incrementar la presición y prevenir que los ataques llegen a la red.

Los investigadores de ciencias de la computación de ambas universidades han probado su tecnología contra ataques de memoria, tales como buffer overflows, usando el servidor web de Apache y el navegador Mozilla Firefox (ambos por su popularidad y la existencia del código fuente) y las técnicas de detección de anomalías como Ejecución de Payload Abstracta (Abstract Payload Execution) y el algoritmo Earlbird. Los resultados iniciales son prometedores: los honeypots de refuerzo han hecho una detección más acertada que los IPS o los IDS por sí mismos. Pero tal precisión tiene un costo extra. El honeypot de refuerzo que monitorea el tráfico dirigido al servidor de Apache usó entre un 20% y un 50% más de procesamiento, dependiendo del uso.

Aún, los académicos consideran que el concepto es útil para expandir los honeypots tradicionales para reducir el número de falsos positivos que llenan las bitácoras de red y los falsos negativos que dejan a los sistemas vulnerables a los ataques. Además muestran un mejor monitoreo de amenazas que las aplicaciones comunes por el lado del cliente en los sistemas de cómputo.