Siempre estamos buscando formas de proteger mejor nuestra infraestructura de protección de datos. Las investigaciones y evidencias recientes de ataques ransomware han demostrado algo clave: los atacantes están enfocando sus esfuerzos en comprometer y destruir las soluciones de backup. ¿Por qué? Simple: sin respaldos, las organizaciones tienen más probabilidad de pagar el rescate. Es aquí donde entra Veeam Decoys, un proyecto open source que he desarrollado hace un tiempo para ayudar a detectar movimientos laterales (TA0008) y descubrimientos de servicios (TA0007) en tu red interna.
Introducción
La realidad es que detectar soluciones de protección de datos en una red es relativamente sencillo. Los servicios utilizan puertos específicos y la documentación es pública. Para un atacante que ya tiene acceso con credenciales administrativas, es cuestión de tiempo encontrar y potencialmente comprometer estos sistemas críticos.
Por esto, además de seguir la regla 3-2-1-1-0 e implementar inmutabilidad en tus respaldos, necesitas una capa adicional de detección temprana
Solución Simple pero Efectiva
Lo que hace Veeam Decoys es crear “señuelos” que parecen servicios reales de Veeam. Por ejemplo, es como poner sensores de movimiento en tu casa, pero en este caso es en tu red Interna. Estos señuelos detectan si alguien o algun software está:
- Escaneando tu red buscando servidores o servicios de Veeam
- Intentando conectarse a la consola de Veeam
- Intentando conectarse a repositorios de backup
- Probando credenciales en servicios de administración remota, RDP, SSH, Netbios
- Realizando movimientos laterales en tu infraestructura
Para que nos sirve? Simple, si el atacante esta buscando los servicios de Veeam, esta solucion, detectará los escaneos de la red hacia los servicios de Veeam y enviará notificaciones a través de:
- Syslog, enviando todos los logs a tu SIEM
- Notificaciones por E-Mail
Asi podrás saber de forma temprana cuando el o los atacantes ya se encuentren en tu red, utilizando las tácticas de Mitre TA0007 y TA0008 para realizar la respectiva investigación o iniciar el plan de respuesta ante incidentes.
Servicios Simulados
- Veeam Backup Server
- Veeam Hardened Repository
- Veeam Windows Repository
- Veeam Backup Enterprise Manager
- SSH
- Remote Desktop (RDP)
- Netbios
Beneficios Clave
1. Recursos Mínimos
- 1 vCPU
- 2GB RAM
- 50GB almacenamiento
- Perfecto para despliegues múltiples
2. Implementación Flexible
- Despliegue en múltiples VLANs con una sola instancia
- Arquitectura distribuida para mayor cobertura
- Appliance desechable – fácil de reemplazar
3. Integración y Notificación
- Envío de logs a SIEM vía Syslog
- Alertas por correo electrónico
- Compatible con herramientas de monitoreo existentes
Arquitectura Simple y Distribuida
Arquitectura Simple: Ideal para empresas pequeñas y medianas:
- Un Veeam Decoy por VLAN crítica
- Integración centralizada con SIEM
- Monitoreo vía email
Arquitectura Distribuida: Perfecta para empresas grandes
- Monitoreo jerárquico
- Múltiples Decoys por ubicación
- Señuelos estratégicamente distribuidos
En la documentación encontrarás detalles de cada una de las arquitecturas.
Resultados
En multiples pruebas se pudo detectar rapidamente:
- Escaneos automáticos de red que no se tenia conocimiento
- Intentos de conexión desde equipos no autorizados
- Herramientas de inventario mal configuradas
- Movimientos laterales sospechosos
- Intentos de Inicio de Sesion en el Decoy de Consola de Veeam
Descarga e Instalación
Appliance Virtual
- Descarga: https://dl.24xsiempre.com/DecoyV1.ova
- Tiempo de implementación: ~15 minutos
Instalación Manual
- GitHub: https://github.com/VeeamHub/veeam-decoy
- Un solo comando para instalar
Documentación
English: https://dl.24xsiempre.com/Decoy_Manual_EN.pdf
Español: https://dl.24xsiempre.com/Decoy_Manual_ES.pdf
Preguntas Frecuentes
P: ¿Impacta el rendimiento de mi infraestructura actual? R: No, los señuelos son extremadamente livianos y no interfieren con servicios productivos.
P: ¿Necesito modificar mi infraestructura existente? R: No, Veeam Decoys opera de forma independiente.
P: ¿Qué hago si detecto actividad sospechosa? R: La herramienta te permite iniciar tu proceso de respuesta a incidentes de forma temprana. Y se debe tratar de forma prioritaria.
Conclusión
En un entorno donde los ataques son cada vez más sofisticados, necesitamos ser proactivos en nuestra defensa. Veeam Decoys proporciona una capa adicional de seguridad, dándote visibilidad temprana de posibles amenazas a tu infraestructura de backup.