Wprowadzenie
TrapInit
TrapInit jest platformą służącą do uruchamiania, zarządzania i monitorowania pułapek rozmieszczonych w infrastrukturze. Pułapki (inaczej honeypot, decoy) stanowią fałszywe zasoby, które wydają się cenne z punktu widzenia atakującego. W rzeczywistości pułapka to mały, wyizolowany program, który ma poinformować TrapInit o potencjalnym ataku, jednocześnie wprowadzając w błąd atakującego. Pułapki są uruchamiane na sensorach (środowiska uruchomieniowe jak np. Docker).
Platforma TrapInit jest jednym z narzędzi, które oparte jest o podejście do bezpieczeństwa zwane "Zero trust architecture". W skrócie polega ono na założeniu, że kompromitacja jednej ze stacji już nastąpiła, a atakujący może być obecny w organizacji (zobacz Dwell time).
Spis pojęć
Dla uproszczenia, w dalszej części dokumentacji, będą używane następujące zwroty
Części systemu
- TrapInit - aplikacja monitorująca stan pułapek
- pułapka - wyizolowana aplikacja stanowiąca fałszywy zasób
- przynęta - artefakt, który ma zachęcić atakującego do wejścia na pułapkę. Może występować np. w postaci pliku zawierającego hasło w jawnej formie.
- sensor - środowisko uruchomieniowe dla pułapek (np. maszyna wirtualna z zainstalowanym Docker)
Aktorzy
- administrator - osoba lub zespół osób odpowiedzialnych za utrzymanie infrastruktury.
- atakujący - użytkownik z nieuprawnionym dostępem do infrastruktury, lub insider.