En la actualidad, muchas empresas dependen de grandes cantidades de datos obtenidos en Internet a través del web scraping para tomar decisiones empresariales. Sin embargo, el web scraping a menudo se enfrenta a varios retos y, uno de ellos, son las trampas honeypot.
Por otro lado, los Honeypots también son un activo vital para la Ciberseguridad de su organización.
Así que este artículo proporcionará una visión general de los Honeypots antes de pasar a cómo puede evitar las trampas honeypot en el web scraping.
Los honeypots en seguridad de redes son sistemas señuelo diseñados de forma similar a un sistema legítimo comprometido. Su objetivo principal es incitar a los ciberdelincuentes a ganar tiempo y esfuerzo para explotar las vulnerabilidades deliberadas de un sistema informático. A continuación, alerta a su equipo interno de ciberseguridad de los intentos comprometidos de los atacantes.
Esta alerta permitiría a su equipo de seguridad investigar los ataques en directo a través de honeypots para mitigar las vulnerabilidades y alejar a los atacantes de causar daños al sistema legítimo.
Dado que los honeypots son idénticos a un sistema informático real con software de aplicación y datos para engañar a los ciberdelincuentes, se desarrollan deliberadamente con lagunas de seguridad. Un ejemplo destacado serían algunos puertos vulnerables que se dejan abiertos para atraer a los atacantes al honeypot en lugar de al sistema real.
Además, otro escenario de honeypot sería imitar una página de pasarela de pago en Internet, que sería un objetivo ideal para que los ciberdelincuentes espíen los números de las tarjetas de crédito. Una vez que un ciberdelincuente aterriza en una página de este tipo, su equipo de seguridad puede evaluar su comportamiento y seguir sus movimientos para hacer que la pasarela de pago legítima sea más segura.
Desde el punto de vista del funcionamiento de los honeypots, podría considerarse una valiosa herramienta que ayuda a identificar las vulnerabilidades de seguridad de su organización y a detectar nuevas amenazas. Además, analizará las tendencias de los atacantes e introducirá mecanismos para protegerse de dichas amenazas.
Los honeypots se pueden clasificar en función de su despliegue y niveles de implicación. En función del despliegue, se pueden clasificar como:
Honeypots de producción: estos honeypots se despliegan junto a servidores de producción reales en la red interna de su organización. Su objetivo es detectar ataques activos en la red interna y desviarlos del servidor legítimo.
Honeypots de investigación: por el contrario, los honeypots de investigación se utilizan para recopilar y analizar cómo un atacante llevaría a cabo un ataque potencial contra el sistema mediante el análisis de su comportamiento. Gracias a este análisis, el equipo de seguridad puede mejorar la defensa del sistema.
A continuación, en función de los niveles de implicación, los honeypots pueden clasificarse de la siguiente manera:
honeypots puros: se trata de sistemas de producción a escala real que aparentan contener datos confidenciales o sensibles. Los equipos de seguridad vigilan las intenciones de los atacantes mediante la escucha de errores instalada donde los honeypots se conectan a la red.
honeypots de alta interacción: el objetivo principal es conseguir que el atacante invierta el mayor tiempo posible en infiltrarse por las brechas de seguridad para atacar el sistema. Esto permitiría a sus equipos de ciberseguridad observar el objetivo de los atacantes dentro del sistema y descubrir sus vulnerabilidades. Un ejemplo típico de honeypot de alta interacción sería una Base de Datos.
honeypot de interacción media: imita la capa de aplicación sin un sistema operativo para que el atacante se confunda o retrase su misión. Esto permitiría a sus expertos en seguridad ganar tiempo para responder al ataque en este escenario.
Honeypot de baja interacción: estos honeypots son fáciles de configurar y utilizan el protocolo de control de transmisión (TCP), el protocolo de Internet (IP) y servicios de red. Consumen menos recursos. Su objetivo principal es simular los sistemas que los atacantes suelen atacar. Así, los expertos en seguridad recopilan información sobre el tipo de ataque y su punto de origen. Los equipos de seguridad también los utilizan como mecanismos de detección precoz.
Hasta ahora, has descubierto que un honeypot es una única máquina virtual en una red. En cambio, los honeynets son una serie de honeypots conectados en red, como se muestra en el siguiente diagrama. Un único honeypot no es suficiente para monitorizar el tráfico sospechoso que entra en una red más extensa.
Las honeynets están conectadas al resto de la red a través de una pasarela "honeywall" que supervisa el tráfico que entra en la red y lo dirige a los nodos honeypot.
Con la ayuda de honeynet, su equipo de seguridad puede investigar amenazas de ciberseguridad de magnitudes a gran escala, como ataques de denegación de servicio distribuido (DDOS) y ransomware. A continuación, el equipo de seguridad puede tomar las precauciones pertinentes para alejar a los atacantes del sistema real.
Los Honeynets protegen toda la red del tráfico sospechoso entrante y saliente y forman parte de una amplia red de intrusión.
Ahora puedes suponer que con la presencia de honeypots, tu red es totalmente segura. Sin embargo, no es la realidad, ya que los honeypots tienen varias desventajas y no sustituyen a ningún mecanismo de seguridad.
Los honeypots no pueden detectar todas las amenazas de seguridad que existen: el hecho de que una amenaza concreta no se haya infiltrado por las lagunas del honeypot no significa que no vaya a entrar en el sistema legítimo. Por otro lado, un hacker experto podría determinar que un honeypot es ilegítimo y atacar otros sistemas de la red, dejando intacto el honeypot.
Un atacante también podría ejecutar ataques de suplantación para desviar su atención del exploit real a su entorno de producción.
Peor aún, un hacker más innovador podría utilizar el honeypot como una forma de entrar en su entorno de producción. Esta es la razón aparente por la que los honeypots no pueden sustituir a otros mecanismos de seguridad como los cortafuegos. Así que, dado que el honeypot puede actuar como plataforma de lanzamiento para atacar al resto del sistema, hay que tomar las precauciones adecuadas con cada honeypot de la red.
Existen trampas de honeypot para evitar el web scraping ilegal, lo que implica que sólo un puñado de scrapers raspan información protegida por derechos de autor. Desgraciadamente, debido a estos pocos raspadores, los raspadores legítimos también tienen que pagar el precio ocasionalmente. Esto se debe a que los honeypots son incapaces de distinguir los raspadores legítimos de los que no lo son.
Las páginas web contienen enlaces a los que sólo pueden acceder los rastreadores. Así, cuando un rastreador extrae datos de esos enlaces, el sitio web detecta la actividad de rastreo. Por lo tanto, un sitio web con trampas honeypot puede rastrear y detectar fácilmente su actividad de web scraping, ya que el scraping desde estos sitios es ilegal. Como resultado, es probable que su IP sea bloqueada y, por lo tanto, no obtendrá los datos deseados.
Para cebar a los rastreadores, algunos sitios con enlaces honeypot utilizan su propiedad CSS display a none. Por lo tanto, tienes que asegurarte de que tu rastreador sigue sólo los enlaces visibles. Además, para evitar bloqueos, lo mejor es seguir las normas y directrices del sitio web que estás raspando.
Aunque los honeypots tienen ciertos riesgos, los beneficios superan sin duda a los riesgos, como se muestra en la sección de limitaciones. Por lo tanto, los honeypots son un mecanismo esencial a la hora de considerar la inversión en seguridad para tu organización. Por otro lado, asegúrate de que profesionales con experiencia llevan a cabo tus evaluaciones de seguridad y de los honeypots.