Veeam Decoys – Detección Temprana

Siempre estamos buscando formas de proteger mejor nuestra infraestructura de protección de datos. Las investigaciones y evidencias recientes de ataques ransomware han demostrado algo clave: los atacantes están enfocando sus esfuerzos en comprometer y destruir las soluciones de backup. ¿Por qué? Simple: sin respaldos, las organizaciones tienen más probabilidad de pagar el rescate. Es aquí donde entra Veeam Decoys, un proyecto open source que he desarrollado hace un tiempo para ayudar a detectar movimientos laterales (TA0008) y descubrimientos de servicios (TA0007) en tu red interna.

Introducción

La realidad es que detectar soluciones de protección de datos en una red es relativamente sencillo. Los servicios utilizan puertos específicos y la documentación es pública. Para un atacante que ya tiene acceso con credenciales administrativas, es cuestión de tiempo encontrar y potencialmente comprometer estos sistemas críticos.

Por esto, además de seguir la regla 3-2-1-1-0 e implementar inmutabilidad en tus respaldos, necesitas una capa adicional de detección temprana

Solución Simple pero Efectiva

Lo que hace Veeam Decoys es crear “señuelos” que parecen servicios reales de Veeam. Por ejemplo, es como poner sensores de movimiento en tu casa, pero en este caso es en tu red Interna. Estos señuelos detectan si alguien o algun software está:

  • Escaneando tu red buscando servidores o servicios de Veeam
  • Intentando conectarse a la consola de Veeam
  • Intentando conectarse a repositorios de backup
  • Probando credenciales en servicios de administración remota, RDP, SSH, Netbios
  • Realizando movimientos laterales en tu infraestructura

Para que nos sirve? Simple, si el atacante esta buscando los servicios de Veeam, esta solucion, detectará los escaneos de la red hacia los servicios de Veeam y enviará notificaciones a través de:

  • Syslog, enviando todos los logs a tu SIEM
  • Notificaciones por E-Mail

Asi podrás saber de forma temprana cuando el o los atacantes ya se encuentren en tu red, utilizando las tácticas de Mitre TA0007 y TA0008 para realizar la respectiva investigación o iniciar el plan de respuesta ante incidentes.

Servicios Simulados

  • Veeam Backup Server
  • Veeam Hardened Repository
  • Veeam Windows Repository
  • Veeam Backup Enterprise Manager
  • SSH
  • Remote Desktop (RDP)
  • Netbios

Beneficios Clave

1. Recursos Mínimos

  • 1 vCPU
  • 2GB RAM
  • 50GB almacenamiento
  • Perfecto para despliegues múltiples

2. Implementación Flexible

  • Despliegue en múltiples VLANs con una sola instancia
  • Arquitectura distribuida para mayor cobertura
  • Appliance desechable – fácil de reemplazar

3. Integración y Notificación

  • Envío de logs a SIEM vía Syslog
  • Alertas por correo electrónico
  • Compatible con herramientas de monitoreo existentes

Arquitectura Simple y Distribuida

Arquitectura Simple: Ideal para empresas pequeñas y medianas:

  • Un Veeam Decoy por VLAN crítica
  • Integración centralizada con SIEM
  • Monitoreo vía email

Arquitectura Distribuida: Perfecta para empresas grandes

  • Monitoreo jerárquico
  • Múltiples Decoys por ubicación
  • Señuelos estratégicamente distribuidos

En la documentación encontrarás detalles de cada una de las arquitecturas.

Resultados

En multiples pruebas se pudo detectar rapidamente:

  • Escaneos automáticos de red que no se tenia conocimiento
  • Intentos de conexión desde equipos no autorizados
  • Herramientas de inventario mal configuradas
  • Movimientos laterales sospechosos
  • Intentos de Inicio de Sesion en el Decoy de Consola de Veeam

Descarga e Instalación

Appliance Virtual

Instalación Manual

Documentación

Englishhttps://dl.24xsiempre.com/Decoy_Manual_EN.pdf

Españolhttps://dl.24xsiempre.com/Decoy_Manual_ES.pdf

Preguntas Frecuentes

P: ¿Impacta el rendimiento de mi infraestructura actual? R: No, los señuelos son extremadamente livianos y no interfieren con servicios productivos.

P: ¿Necesito modificar mi infraestructura existente? R: No, Veeam Decoys opera de forma independiente.

P: ¿Qué hago si detecto actividad sospechosa? R: La herramienta te permite iniciar tu proceso de respuesta a incidentes de forma temprana. Y se debe tratar de forma prioritaria.

Conclusión

En un entorno donde los ataques son cada vez más sofisticados, necesitamos ser proactivos en nuestra defensa. Veeam Decoys proporciona una capa adicional de seguridad, dándote visibilidad temprana de posibles amenazas a tu infraestructura de backup.

 

Agregar un comentario

Tu dirección de correo electrónico no será publicada. Los campos requeridos están marcados *