Projekt Lorelei begann 2014 mit dem alleinigen Zweck, einen Einblick zu gewinnen, was Angreifer, Forscher und Unternehmen in Cloud-Umgebungen oder gegen diese Umgebungen tun. Dabei geht es um die Bereitstellung sogenannter Honeypots mit geringer Interaktion weltweit – d. h. Computer, die keine Dienste aufrufen – und die Aufzeichnung der Telemetrie aus Verbindungen und eingehenden Angriffen, um ein besseres Verständnis von den Taktiken, der Methodik und den Verfahren zu gewinnen, die Bots und menschliche Angreifer einsetzen.
Im Laufe der Jahre hat das Projekt Lorelei in zweierlei Hinsicht Wirkung gezeigt: Erstens hat es uns in die Lage versetzt, eine rationale, objektive Bewertung der Verhaltensweisen von Angreifern und ihrer möglichen Auswirkungen vorzunehmen. Dies trägt dazu bei, Beziehungen zu anderen Forschern im Internet aufzubauen, um Foren für die Zusammenarbeit und die Bestätigung neuer Bedrohungen zu schaffen. Zum anderen haben die aus Lorelei gewonnenen Erkenntnisse das Bewusstsein über das Ausmaß der zielgerichteten oder opportunistischen Angreifer und organisatorischen Fehlkonfigurationen und für das, wonach Sicherheitsforscher im Internet suchen, geschärft. Sie können diese Erkenntnisse in Rapid7-Studien wie The Attacker's Dictionary und unseren vierteljährlichen Bedrohungsberichten erkunden und sehen, wie sie mit bahnbrechenden angreiferbasierten Analysen in unserem Produkt InsightIDR in die Praxis umgesetzt werden.
Das Lorelei Honeypot-Framework ist eine moderne Version des bahnbrechenden Tools zur Erkennung von Angreifern: Jeder Lorelei-Knoten ist ein leichtgewichtiger, konfigurierbarer Agent, der mit gut getesteten Tools zentral eingesetzt und über ein zentrales Verwaltungsportal gesteuert wird. Praktisch jeder Honeypot-Code kann für Lorelei-Agenten eingesetzt werden, und alle Agenten senden vollständige Paketaufzeichnungen zur Analyse nach der Interaktion zurück. Derzeit haben wir weltweit über 150 Honeypots auf 5 Kontinenten in Betrieb.
Alle Interaktions- und Paketerfassungsdaten werden in einer zentralen Sammelstelle synchronisiert, und alle Echtzeit-Logs werden zwecks Live-Überwachung und Data-Mining-Historie direkt in Rapid7-Produkte eingespeist. Wenn der Aufbau einer unerwarteten Verbindung mit einem unserer Honeypots versucht wird, wird dieser häufig einer weiteren Analyse unterzogen.
Möchten Sie sehen, wie diese Forschung in die Praxis umgesetzt wird? Entdecken Sie Eindringlingsfallen und angreiferbasierte Analysen mit einer kostenlosen Testversion von InsightIDR.
Starten Sie die 30 tägige TestversionDer Weg in eine sicherere Welt beginnt mit dem Wissensaustausch. Kontaktieren Sie unsere Forscher, wenn Sie dabei sein möchten.
Mehr erfahren