Red de Sensores para detectar amenazas
Por Graciela Martínez, Líder del CSIRT de LACNIC y Guillermo Pereyra Analista de Seguridad CSIRT de LACNIC
El Centro de Respuesta a Incidentes en Seguridad Informática de LACNIC (LACNIC CSIRT) tiene desplegada una red de sensores en los países de la región en busca de conocer en tiempo real posibles tipos de ataques y amenazas cibernéticas en América Latina y el Caribe.
Los datos aportados por esta red, llamada Honeynet, nos habilitan a ser proactivos y advertir en tiempo real sobre eventuales amenazas que pueden sufrir las redes de nuestros asociados en la región. De esta manera ellos pueden realizar acciones para prevenir ser atacados.
La red Honeynet está integrada por una serie de dispositivos interactivos conectados a Internet en diferentes países de la región que permiten visualizar los eventos de seguridad en tiempo real y conocer el modus-operandi de los ataques más comunes. Estos datos posibilitan generar inteligencia y analizar el comportamiento de los atacantes.
Un honeypot es un dispositivo conectado a Internet que de forma pasiva registra el tráfico que recibe. Toda interacción con un sensor es potencialmente maliciosa ya que no hay servicios reales en el sensor. El sensor actúa de una manera simple: simula ser un servidor real con configuraciones de seguridad muy básicas precisamente para ser objeto de interés de los hackers.
De esta forma un honeypot se convierte en una potente herramienta para detectar actividades maliciosas. En el caso del CSIRT de LACNIC tiene desplegado un conjunto distribuido de honeypots conocido como una HoneyNet. En particular, nuestra honeynet se enfoca en registrar intentos de acceso a cuentas ssh (secure shell) expuestas a internet. De particular interés son los pares usuario / clave que los atacantes intentan usar y las direcciones IP de origen de estos intentos.
Este año concretamos la incorporación de siete nuevos sensores a la red HoneyNet del CSIRT: 1 en Chile, 2 Ecuador, 1 en Perú y 3 en Venezuela; totalizando así 29 sensores siendo 6 de ellos dual stack (IPv4-IPv6).
Los invitamos a integrarse a esta iniciativa LACNIC Honeynet instalando un sensor en la red de su organización y poder así implementar acciones proactivas en los sistemas que protegen sus redes.
Los interesados pueden enviar un mail a csirt@lacnic.net.