Zarządzanie pułapkami
Pułapka (inaczej trap, decoy) to wyizolowana aplikacja stanowiąca fałszywy zasób. Pułapka jest uruchamiana w infrastrukturze, oraz komunikuje się z TrapInit. Jakikolwiek ruch na pułapce jest dla TrapInit sygnałem, że prawdopodobnie powstał incydent bezpieczeństwa.
Dlaczego pułapka udaje prawdziwy zasób?
Pułapka oprócz informowania o ruchu wewnątrz aplikacji - co pozwala zauważyć atakującego, wprowadza go w błąd. Im bardziej realistyczna jest pułapka, tym większa szansa, że atakujący później zorientuje się, że traci czas. W tym czasie pułapka alarmuje platformę TrapInit i w konsekwencji osoby odpowiedzialne za monitorowanie sieci.
Budowa pułapki - TrapDef
W praktyce, pułapki platformy TrapInit to programy uruchamiane w kontenerach Docker. Struktura pułapki opiera się o standard TrapDef. Standard określa podstawowe parametry wymagane przez platformę TrapInit do poprawnego działania.
Komunikacja z platformą TrapInit przez TrapCLI
Poprawnie zbudowana pułapka komunikuje się z platformą za pomocą TrapCLI - jest to aplikacja konsolowa ułatwająca wysyłanie informacji o zdarzeniach na pułapce.
TrapCLI można pobrać na downloads.traptech.pl.
TrapCLI wysyła informacje o zdarzeniach na adres zdefinowany podczas
instalacji platformy TrapInit (wartość public URL).