Przejdź do głównej zawartości

Wprowadzenie

TrapInit

TrapInit jest platformą służącą do uruchamiania, zarządzania i monitorowania pułapek rozmieszczonych w infrastrukturze. Pułapki (inaczej honeypot, decoy) stanowią fałszywe zasoby, które wydają się cenne z punktu widzenia atakującego. W rzeczywistości pułapka to mały, wyizolowany program, który ma poinformować TrapInit o potencjalnym ataku, jednocześnie wprowadzając w błąd atakującego. Pułapki są uruchamiane na sensorach (środowiska uruchomieniowe jak np. Docker).

notatka

Platforma TrapInit jest jednym z narzędzi, które oparte jest o podejście do bezpieczeństwa zwane "Zero trust architecture". W skrócie polega ono na założeniu, że kompromitacja jednej ze stacji już nastąpiła, a atakujący może być obecny w organizacji (zobacz Dwell time).

Spis pojęć

Dla uproszczenia, w dalszej części dokumentacji, będą używane następujące zwroty

Części systemu

  • TrapInit - aplikacja monitorująca stan pułapek
  • pułapka - wyizolowana aplikacja stanowiąca fałszywy zasób
  • przynęta - artefakt, który ma zachęcić atakującego do wejścia na pułapkę. Może występować np. w postaci pliku zawierającego hasło w jawnej formie.
  • sensor - środowisko uruchomieniowe dla pułapek (np. maszyna wirtualna z zainstalowanym Docker)

Aktorzy

  • administrator - osoba lub zespół osób odpowiedzialnych za utrzymanie infrastruktury.
  • atakujący - użytkownik z nieuprawnionym dostępem do infrastruktury, lub insider.