Ir al contenido

Cloud Honeypot

(En desarrollo)
Lider de proyect​oIntegrantes del proyectoObjetivosMetodologia

Lider de proyecto

  • David Gutierrez

Integrantes del proyecto

  • Sergio Dussan
  • Jhon Jairo Perdomo
  • Cristian sanchez

Objetivos

Generales

  • Implementar un modelo de honeypot basado en la nube para la identificación y contención de agentes de amenaza, riesgos y vulnerabilidades con el fin de fortalecer la seguridad de sistemas cloud.

Especificos

  • Detectar y registrar eventos de sistema y seguridad para su posterior análisis y contención.
  • Analizar registros recopilados por el honeypot para identificar amenazas emergentes y vulnerabilidades, mejorando la comprensión de los métodos de ataque dirigidos a sistemas basados en la nube.
  • Implementar medidas de seguridad proactivas basadas en los análisis de los datos obtenidos, reforzando la protección de la infraestructura cloud.
  • Establecer un sistema de alertas en tiempo real que notifique a los equipos de seguridad sobre actividades maliciosas detectadas, permitiendo una respuesta rápida y efectiva ante posibles incidentes.
  • Desarrollar herramientas para automatizar tareas de detección y análisis de eventos de seguridad.
  • Generar informes periódicos en base a eventos de seguridad registrados por el honeypot, incluyendo recomendaciones y estrategias a nivel técnico para fortalecer la postura de seguridad de sistemas alojados en la nube.

Metodologia

El proyecto se desarrollará de manera cronológica en las fases definidas a continuación:

Fase 1.  Definición de entorno nube y tecnologías a implementar

  • Investigación de plataformas cloud: (AWS, Azure, Google Cloud, etc.) y evaluación de ventajas, costos y compatibilidad.
  • Selección de tecnologías de honeypot: (Cowrie, Dionaea, Kippo, etc.) y otras herramientas complementarias (firewalls, IDS/IPS, SIEM).
  • Revisión de recursos de red y configuración de seguridad básica: Investigar documentación de plataforma cloud elegida (configuración de grupos de seguridad, VPC, reglas de firewall).

Fase 2. Diseño de arquitectura del sistema y red

  • Diseño de la topología de red: Definir la disposición de subredes, balanceadores de carga, puntos de acceso a internet, y controles de seguridad.
  • Definir roles y permisos: Limitar el acceso administrativo al honeypot tomando como referencia los principios del privilegio mínimo y segmentación de acceso.
  • Esquema de interacción del honeypot: Determinar métodos de interacción entre el honeypot y herramientas de seguridad.

Fase 3. Implementacion del Honeypot

  • Despliegue de recursos en la nube: Creación de máquinas virtuales, almacenamiento y red, conforme al diseño previamente planteado.
  • Instalación del honeypot: Configuración del software de honeypot seleccionado (Cowrie, Dionaea, etc.) en los servidores cloud.
  • Instalación de herramientas de seguridad: SIEM, IDS, IPS, firewalls, etc.
  • Creación y exposición de servicios: Crear servicios web engañosos y exponer servicios varios (FTP, DNS, HTTP, HTTPS, SMTP, etc) siguiendo fundamentos de seguridad.
  • Configuración de registro y captura de datos: Asegurar que el honeypot registre todas las interacciones anormales y las almacene adecuadamente para análisis posterior.

Fase 4. Ejecución de auditorías de seguridad

  • Revisión de configuraciones de seguridad: Evaluar la configuración de red, permisos y accesos para identificar posibles debilidades del lado del servidor.
  • Pruebas de penetración: Realizar ataques simulados para evaluar la capacidad del honeypot para registrar y responder a diferentes tipos de ataques.

Fase 5. Monitoreo y análisis

  • Monitoreo de tráfico en tiempo real: Uso de herramientas de monitoreo y SIEM para observar las interacciones con el honeypot.
  • Análisis de eventos y patrones de ataque: Identificar comportamientos sospechosos y correlacionar los eventos para detectar patrones comunes de ataque.
  • Detección de nuevas amenazas: Identificar nuevas técnicas y vectores de ataque que podrían no haber sido considerados inicialmente.

Fase 6. Contención, erradicación y recuperación

  • Aislamiento del Honeypot: Desconectar el honeypot de la red principal para evitar que un agente amenaza acceda o altere las configuraciones del sistema.
  • Desactivación de Servicios Vulnerables: Detener temporalmente los servicios en el honeypot que están siendo explotados reducir superficie de ataque.
  • Reconfiguración de reglas de Firewall: Configurar reglas temporales en el firewall para bloquear el tráfico sospechoso dirigido al honeypot.

Fase 7. Desarrollo de herramientas de seguridad

  • Desarrollo de scripts de análisis automatizados: Crear herramientas personalizadas que faciliten el análisis de los datos capturados por el honeypot.
  • Automatización de respuestas de seguridad: Implementar scripts que tomen acciones preventivas o correctivas en función de los ataques detectados (bloqueo de IPs, cambios en las reglas de firewall, etc.).
  • Integración de nuevas funcionalidades: Brindar robustez al honeypot a través de la creación de nuevas herramientas de seguridad.

Fase 8. Generación de reportes de seguridad

  • Generación de reportes periódicos: Elaborar informes que incluyan detalles de las actividades maliciosas detectadas, estadísticas de ataques y patrones emergentes.
  • Recomendaciones de mejora: Basado en los hallazgos, proponer recomendaciones para optimizar la infraestructura de seguridad.
  • Presentación de informe: Presentar los resultados a involucrados en el proyecto para comunicar hallazgos, eventos y soluciones implementadas que permitan mantener la infraestructura del prototipo cloud a la vanguardia de las nuevas tendencias de ciberseguridad.