Hace unas semanas, la 32.\u00aa edici\u00f3n de RSA, una de las conferencias de ciberseguridad m\u00e1s grandes del mundo, concluy\u00f3 en San Francisco. Entre lo m\u00e1s destacado, Kevin Mandia, CEO de Mandiant en Google Cloud, present\u00f3 una retrospectiva sobre el estado de la ciberseguridad<\/a>. Durante su discurso de apertura, Mandia declar\u00f3:<\/p>\n “Hay pasos claros que las organizaciones pueden tomar m\u00e1s all\u00e1 de las salvaguardas comunes y las herramientas de seguridad para fortalecer sus defensas y aumentar sus posibilidades de detectar, frustrar o minimizar los ataques. […] <\/em>Honeypots<\/em><\/strong>o cuentas falsas que los usuarios autorizados dejan deliberadamente intactas, <\/em>son efectivos para ayudar a las organizaciones a detectar intrusiones o actividades maliciosas que los productos de seguridad no pueden detener<\/em><\/strong>“.<\/p>\n “Construir honeypots” fue uno de sus siete consejos para ayudar a las organizaciones a evitar algunos de los ataques que podr\u00edan requerir la participaci\u00f3n de Mandiant u otras empresas de respuesta a incidentes.<\/p>\n Como recordatorio, los honeypots son sistemas de se\u00f1uelo<\/strong> que est\u00e1n configurados para atraer a los atacantes y desviar su atenci\u00f3n de los objetivos reales. Por lo general, se utilizan como un mecanismo de seguridad para detectar, desviar o estudiar los intentos de los atacantes de obtener acceso no autorizado a una red. Una vez que los atacantes interact\u00faan con un honeypot, el sistema puede recopilar informaci\u00f3n sobre el ataque y las t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) del atacante. <\/p>\n En una era digital en la que las violaciones de datos son cada vez m\u00e1s comunes a pesar de los crecientes presupuestos asignados a la seguridad cada a\u00f1o, Mandia se\u00f1al\u00f3 que es crucial adoptar un enfoque proactivo para limitar el impacto de las violaciones de datos. De ah\u00ed la necesidad de dar la vuelta a los atacantes y el renovado inter\u00e9s en los honeypots.<\/p>\n Aunque los honeypots son una soluci\u00f3n eficaz para rastrear a los atacantes y prevenir el robo de datos, a\u00fan no se han adoptado ampliamente debido a sus dificultades de configuraci\u00f3n y mantenimiento. Para atraer a los atacantes, un honeypot debe parecer leg\u00edtimo y aislado de la red de producci\u00f3n real, lo que dificulta su configuraci\u00f3n y escalado para un equipo azul que busca desarrollar capacidades de detecci\u00f3n de intrusos. <\/p>\n Pero eso no es todo. En el mundo actual, la cadena de suministro de software es muy compleja y est\u00e1 formada por muchos componentes de terceros, como herramientas SaaS, API y bibliotecas, que a menudo provienen de diferentes vendedores y proveedores. Los componentes se agregan en todos los niveles de la pila de creaci\u00f3n de software, lo que desaf\u00eda la noci\u00f3n de un per\u00edmetro “seguro” que debe defenderse. Esta l\u00ednea m\u00f3vil entre lo que est\u00e1 controlado internamente y lo que no puede frustrar el prop\u00f3sito de los honeypots: en este mundo liderado por DevOps, los sistemas de administraci\u00f3n de c\u00f3digo fuente y las canalizaciones de integraci\u00f3n continua son el verdadero cebo para los hackers<\/a>que los honeypots tradicionales no pueden imitar. <\/p>\n Para garantizar la seguridad y la integridad de su cadena de suministro de software, las organizaciones necesitan nuevos enfoques, como los tokens de miel, que son para los honeypots lo que los se\u00f1uelos de pesca para las redes de pesca: requieren recursos m\u00ednimos pero son muy efectivos para detectar ataques.<\/p>\n Los tokens de miel, un subconjunto de los honeypots, est\u00e1n dise\u00f1ados para aparecer como una credencial o un secreto leg\u00edtimo. Cuando un atacante usa un token de miel, se activa una alerta de inmediato. Esto permite a los defensores tomar medidas r\u00e1pidas en funci\u00f3n de los indicadores de compromiso, como la direcci\u00f3n IP (para distinguir los or\u00edgenes internos de los externos), la marca de tiempo, los agentes de usuario, la fuente y los registros de todas las acciones realizadas en el token de miel y los sistemas adyacentes.<\/p>\n Con honeytokens, el cebo es la credencial. Cuando se viola un sistema, los piratas inform\u00e1ticos generalmente buscan objetivos f\u00e1ciles para moverse lateralmente, escalar privilegios o robar datos. En este contexto, las credenciales program\u00e1ticas, como las claves API de la nube, son un objetivo ideal para el an\u00e1lisis, ya que tienen un patr\u00f3n reconocible y, a menudo, contienen informaci\u00f3n \u00fatil para el atacante. Por lo tanto, representan un objetivo principal para que los atacantes busquen y exploten durante una brecha. Como resultado, tambi\u00e9n son el cebo m\u00e1s f\u00e1cil de difundir para los defensores: pueden alojarse en activos en la nube, servidores internos, herramientas SaaS de terceros, as\u00ed como estaciones de trabajo o archivos.<\/p>\n De media<\/a>, se necesitan 327 d\u00edas para identificar una violaci\u00f3n de datos. Al distribuir tokens de miel en varias ubicaciones, los equipos de seguridad pueden detectar infracciones en cuesti\u00f3n de minutos, lo que mejora la seguridad de la canalizaci\u00f3n de entrega de software contra posibles intrusiones. El sencillez<\/strong> de honeytokens es una ventaja significativa eliminando la necesidad de desarrollar todo un sistema de enga\u00f1o<\/strong>. Las organizaciones pueden crear, implementar y administrar f\u00e1cilmente tokens de miel a escala empresarial, asegurando miles de repositorios de c\u00f3digo simult\u00e1neamente.<\/p>\n El campo de la detecci\u00f3n de intrusos ha permanecido bajo el radar durante demasiado tiempo en el mundo DevOps. La realidad sobre el terreno es que las cadenas de suministro de software son el nuevo objetivo prioritario para los atacantes, que se han dado cuenta de que los entornos de desarrollo y construcci\u00f3n est\u00e1n mucho menos protegidos que los de producci\u00f3n. Es crucial hacer que la tecnolog\u00eda trampa sea m\u00e1s accesible, as\u00ed como facilitar su despliegue a escala mediante la automatizaci\u00f3n. <\/p>\n GitGuardian, una plataforma de seguridad de c\u00f3digo, recientemente lanzado<\/a> su capacidad Honeytoken para cumplir esta misi\u00f3n. Como l\u00edder en detecci\u00f3n y remediaci\u00f3n de secretos, la empresa est\u00e1 en una posici\u00f3n \u00fanica para transformar un problema, la expansi\u00f3n de secretos, en una ventaja defensiva. Durante mucho tiempo, la plataforma ha enfatizado la importancia de compartir la responsabilidad de seguridad entre los desarrolladores y los analistas de AppSec. Ahora, el objetivo es “desplazarse a la izquierda” en la detecci\u00f3n de intrusos al permitir que muchos m\u00e1s generen credenciales de se\u00f1uelo y las coloquen en lugares estrat\u00e9gicos en la pila de desarrollo de software. Esto ser\u00e1 posible al proporcionar a los desarrolladores una herramienta que les permita crear tokens de miel y colocarlos en repositorios de c\u00f3digo y en la cadena de suministro de software.<\/p>\n El m\u00f3dulo Honeytoken tambi\u00e9n detecta autom\u00e1ticamente fugas de c\u00f3digo en GitHub: cuando los usuarios colocan honeytokens en su c\u00f3digo, GitGuardian puede determinar si se han filtrado en GitHub p\u00fablico y d\u00f3nde lo hicieron, lo que reduce significativamente el impacto de infracciones<\/a> como los divulgados por Twitter, LastPass, Okta, Slack y otros.<\/p>\n A medida que la industria del software contin\u00faa creciendo, es esencial hacer que la seguridad sea m\u00e1s accesible para las masas. Honeytokens ofrece una soluci\u00f3n proactiva y sencilla para detectar intrusiones en la cadena de suministro de software lo antes posible. Pueden ayudar a las empresas de todos los tama\u00f1os a proteger sus sistemas, sin importar la complejidad de su pila o las herramientas que est\u00e9n utilizando: sistemas de gesti\u00f3n de control de c\u00f3digo fuente (SCM), canalizaciones de implementaci\u00f3n continua de integraci\u00f3n continua (CI\/CD) y registros de artefactos de software, entre otros. otros.<\/p>\n Con su enfoque f\u00e1cil de usar y de configuraci\u00f3n cero, GitGuardian est\u00e1 integrando esta tecnolog\u00eda para ayudar a las organizaciones a crear, implementar y administrar tokens de miel en una escala empresarial m\u00e1s grande, reduciendo significativamente el impacto de posibles filtraciones de datos. <\/p>\n El futuro de los honeytokens parece brillante, y es por eso que no fue una sorpresa ver a Kevin Mandia elogiar los beneficios de los honeypots para las empresas de seguridad cibern\u00e9tica m\u00e1s grandes en RSA este a\u00f1o.<\/p>\n <\/p>\nQu\u00e9 son los se\u00f1uelos de pesca para las redes de pesca<\/h2>\n
Se\u00f1uelos Honeytoken<\/h2>\n
El futuro de la detecci\u00f3n de intrusos<\/h2>\n
Conclusi\u00f3n<\/h2>\n