海森堡计划简介
海森堡计划始于2014年,目的只有一个:了解攻击者, 研究人员, 组织也在这样做, 在, 针对云环境. 它通过在全球范围内部署低交互的蜜罐——或者不请求服务的计算机——并记录有关连接和传入攻击的遥测信息来更好地理解策略, 技术, 以及机器人和人类攻击者使用的程序.
多年来, 海森堡计划的影响有两方面:首先, 它使我们能够提供一种理性, 客观评估攻击者行为及其潜在影响. 这有助于与其他互联网规模的研究人员建立关系,以便在出现新威胁时创建协作和确认论坛. 第二个, 从海森堡中提取的见解提高了人们对坚定攻击者的深度和广度的认识, 机会主义攻击者, 组织配置错误, 以及安全研究人员在互联网上寻找的东西. 您可以在Rapid7研究中探索这些见解,例如 链外:观察公共互联网上的比特币节点, 攻击者的字典,我们的 季度威胁报告,并以开创性的方式将其付诸实践 Attacker-Based分析 在我们的 InsightIDR 产品.
它是如何工作的
Heisenberg蜜罐框架是开创性攻击者检测工具的现代版本:每个Heisenberg节点都是轻量级的, 可配置的代理,使用经过良好测试的工具进行集中部署,并从中央管理门户进行控制. 实际上,任何蜜罐代码都可以部署到海森堡代理中, 所有代理都发回完整的数据包捕获,用于交互后分析. 目前,我们在全球五大洲部署了150多个蜜罐.
所有交互和包捕获数据都同步到中央收集器, 所有实时日志都直接输入到Rapid7产品中,用于实时监控和历史数据挖掘. 当一个未经请求的连接尝试到我们的蜜罐之一时, 这往往需要进一步的分析.