
Autores:
Mario Kahlhofer (Dynatrace Research – mario.kahlhofer@dynatrace.com)
Matteo Golinelli (Universidade de Trento – matteo.golinelli@unitn.it)
Stefan Rass (Universidade Johannes Kepler Linz – stefan.rass@jku.at)
No cenário cloud-native que evolui rapidamente, a cyber deception (ou engano cibernético) surge como uma abordagem promissora para desorganizar adversários antes que qualquer dano real seja causado. Cyber deception envolve a colocação estratégica de armadilhas, decoys ou honeytokens por toda a infraestrutura para detectar, atrasar e analisar possíveis invasores. Com a adoção de plataformas de orquestração de contêineres, como o Kubernetes, essas técnicas podem ser integradas de forma transparente—sem exigir acesso ou modificações ao código-fonte das aplicações.
Koney é um framework de orquestração de cyber deception criado especificamente para Kubernetes. Com seu modelo de implantação baseado em operador, o Koney permite que operadores definam, implantem, girem, monitorem e, por fim, removam uma variedade de técnicas de engano “como código”. Neste post, exploramos o funcionamento interno do Koney em detalhes, discutindo seu design, implementação e aplicações no mundo real. Também incluímos trechos de código e exemplos de linha de comando em Bash e Python para ajudar desenvolvedores a enxergar como integrar cyber deception em seus clusters Kubernetes.
Ao final deste artigo, você entenderá:
Este post é um guia abrangente para iniciantes e usuários avançados que desejam aproveitar a deception cloud-native.
Apesar dos benefícios bem documentados da cyber deception para detecção precoce e remediação de ataques, muitas organizações ainda hesitam em adotar tal tecnologia. Os motivos incluem:
Koney aborda as seguintes questões críticas:
O framework aproveita tecnologias cloud-native (por exemplo, service mesh como Istio e mecanismos in-kernel como eBPF) para integrar métodos de engano de forma transparente em aplicações conteinerizadas existentes. O objetivo principal é simplificar aspectos operacionais—como manutenção, escalabilidade e desempenho—afastando-se dos desafios técnicos que dificultam a adoção.
Compreender o Koney exige familiaridade com conceitos-chave do Kubernetes. A seguir, alguns termos essenciais:
Suponha que você deseje monitorar anomalias de rede dentro de um pod usando eBPF. Um comando típico seria:
# Inspecionar tráfego de rede em um pod:
kubectl exec -it <pod-name> -- tcpdump -i eth0 -nn
Este comando permite ao defensor identificar picos suspeitos de tráfego, possivelmente indicando varredura ou exfiltração. Da mesma forma, o Koney utiliza sidecars e sondas eBPF para injetar engano sem interromper a funcionalidade normal da aplicação.
Políticas de cyber deception descrevem a configuração e o comportamento de decoys e armadilhas que serão implantados na infraestrutura. No Koney, essas políticas são definidas como código, o que permite versionar e revisar usando ferramentas padrão.
Armadilhas em sistemas de arquivos envolvem a criação de honeyfiles, honeytokens, honeydocuments e até honeydirectories. Esses arquivos de engano imitam ativos de alto valor. Um invasor que acessar tais artefatos gera logs e alertas, expondo seu interesse ou atividade.
Exemplo de YAML para política de engano em sistema de arquivos:
apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
name: honeytoken-policy
spec:
trapType: fileSystem
details:
fileName: "secrets.txt"
content: "username: admin\npassword: Pa$w0rd123"
triggerAlert: true
Armadilhas em aplicações web alvo-am tráfego HTTP injetando endpoints enganosos, modificando cabeçalhos ou corpos de resposta, ou até falsificando páginas inteiras.
Definindo respostas para endpoints inexistentes, atacantes são guiados a páginas fake de admin ou dados falsos.
Alterar, por exemplo, o cabeçalho “Server” pode iludir o atacante sobre o servidor real.
Manipulando HTML/CSS/JS para redirecionar ou confundir quem está testando. Um exemplo clássico é adicionar rotas falsas no robots.txt.
Exemplo de política de engano web:
apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
name: web-deception-policy
spec:
trapType: webApplication
details:
endpoint: "/wp-admin"
responseType: fixed
responseContent: "<html><body><h1>Fake Admin Login Portal</h1></body></html>"
triggerAlert: true
Os documentos de política também especificam o escopo exato onde o engano será aplicado. É possível direcionar pods com rótulos específicos ou namespaces designados.
apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
name: target-specific-policy
spec:
trapType: fileSystem
selector:
matchLabels:
role: sensitive
details:
fileName: "credentials.log"
content: "dummy-credentials"
triggerAlert: true
O Koney atua como um operador dentro do ecossistema Kubernetes, automatizando o ciclo de vida de deploy, rotação, alerta e teardown de enganos.
Executa comandos diretamente dentro do contêiner para criar honeyfiles ou modificar respostas web.
# Criar honeytoken dentro de um pod
kubectl exec -it <pod-name> -- /bin/sh -c "echo 'dummy data' > /app/honeytoken.txt"
Injeta artefatos de engano montando um volume dedicado.
apiVersion: v1
kind: Pod
metadata:
name: decoy-pod
spec:
containers:
- name: app
image: myapp:latest
volumeMounts:
- name: deception-volume
mountPath: /app/decoy-files
volumes:
- name: deception-volume
configMap:
name: decoy-config
Usa Istio para interceptar/modificar requisições HTTP em tempo real.
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
name: deception-virtual-service
spec:
hosts:
- myapp.example.com
http:
- match:
- uri:
exact: /wp-admin
route:
- destination:
host: decoy-service
port:
number: 80
Ferramenta baseada em eBPF para monitorar syscalls, acessos a arquivos e eventos de rede.
import json
def parse_tetragon_log(log_file):
with open(log_file) as f:
for line in f:
try:
event = json.loads(line)
if 'deception_triggered' in event:
print("Acesso suspeito:", event)
except json.JSONDecodeError:
continue
Monitora interações HTTP via Envoy filters.
apiVersion: networking.istio.io/v1alpha3
kind: EnvoyFilter
metadata:
name: captor-filter
spec:
workloadSelector:
labels:
app: myapp
configPatches:
- applyTo: HTTP_FILTER
match:
context: SIDECAR_INBOUND
patch:
operation: INSERT_BEFORE
value:
name: envoy.filters.http.lua
typed_config:
"@type": "type.googleapis.com/envoy.extensions.filters.http.lua.v3.Lua"
inlineCode: |
function envoy_on_request(request_handle)
local headers = request_handle:headers()
request_handle:logInfo("Captor Trigger: " .. headers:get("User-Agent"))
end
O Koney cobre:
Em laboratório, a taxa de detecção foi >90% para táticas conhecidas.
Pesquisas sobre honeytokens/honeyfiles—Koney traz escalabilidade via Kubernetes.
Técnicas de respostas fixas e manipulação de payload—Koney integra Istio para automação.
“Policy-as-code” em segurança—Koney automatiza todo o ciclo de vida, reduzindo barreiras.
O Koney democratiza cyber deception em ambientes cloud-native. Ao formalizar políticas como código e automatizar via operador, reduz barreiras para equipes de segurança.
Principais pontos:
Ferramentas como Koney oferecem agilidade para ficar à frente dos atacantes. Esperamos que este guia forneça o insight necessário para você integrar deception em seus clusters Kubernetes.
apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
name: filesystem-honeytoken
spec:
trapType: fileSystem
selector:
matchLabels:
app: sensitive-data
details:
fileName: "credentials.txt"
content: |
user: admin
password: L0ngR@nd0mP@ss
triggerAlert: true
rotationInterval: "24h"
apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
name: webapp-deception
spec:
trapType: webApplication
selector:
matchLabels:
app: my-web-app
details:
endpoint: "/admin"
responseType: fixed
responseContent: |
<html>
<body>
<h2>Painel Admin de Engano</h2>
<p>Esta página é um decoy. Todo acesso não autorizado é registrado.</p>
</body>
</html>
triggerAlert: true
rotationInterval: "12h"
Implantar políticas:
kubectl apply -f filesystem-honeytoken.yaml
kubectl apply -f webapp-deception.yaml
Monitorar interações:
kubectl logs -f deployment/koney-operator -n security
Analisar logs com Python (script acima).
Fluxo de resposta: integração com SIEM para isolar pods suspeitos.
Leituras adicionais:
A abordagem do Koney marca uma evolução significativa na proteção de ambientes conteinerizados. Experimente em seus clusters Kubernetes e contribua para a evolução dessa tecnologia.
Feliz Deception!
Palavras-chave: Cyber Deception, Kubernetes, Operador Koney, Cibersegurança, Honeypots, Honeytokens, Istio, Service Mesh, eBPF, DevSecOps, Segurança de Contêineres, Policy-as-code
Se você achou este conteúdo valioso, imagine o que você poderia alcançar com nosso programa de treinamento de elite abrangente de 47 semanas. Junte-se a mais de 1.200 alunos que transformaram suas carreiras com as técnicas da Unidade 8200.