Кибер‑буткемп 8200
Почему МыПрограммаДля КогоПодробная ПрограммаЦеныFAQБлогЗаписаться Сейчас
Кибер‑буткемп 8200
Почему МыПрограммаДля КогоПодробная ПрограммаЦеныFAQБлог
Записаться Сейчас

Select Language

© 2026 Кибер‑буткемп 8200

8200 Cyber Bootcamp

Элитарное обучение кибербезопасности, вдохновлённое Unit 8200, с упором на практические навыки.

Быстрые ссылки

  • Главная
  • Программа
  • Подробный план
  • Стоимость
  • FAQ

Контакты

Мы в соцсетях

© 2026 8200 Cyber Bootcamp. Все права защищены.

Koney

Koney

11/18/2025
Koney — это фреймворк кибер-дезинформации, автоматизирующий ловушки в Kubernetes без доступа к исходному коду. Он применяет документы политики для выражения дезинформации как кода и масштабного развёртывания honeytokens и тактик в контейнеризованных средах.

Koney: фреймворк оркестрации киберобмана для Kubernetes

Авторы:
Mario Kahlhofer (Dynatrace Research – mario.kahlhofer@dynatrace.com)
Matteo Golinelli (University of Trento – matteo.golinelli@unitn.it)
Stefan Rass (Johannes Kepler University Linz – stefan.rass@jku.at)


Содержание

  1. Введение
  2. Постановка задачи
  3. Терминология Kubernetes
  4. Политики киберобмана
    4.1 Ловушки в файловых системах
    4.2 Ловушки в веб-приложениях
    4.3 Выбор ресурсов
  5. Оператор Koney
    5.1 Стратегии развёртывания приманок
    5.1.1 Стратегия containerExec
    5.1.2 Стратегия volumeMount
    5.1.3 Стратегия istio Decoy
    5.2 Стратегии развёртывания перехватчиков
    5.2.1 Стратегия tetragon
    5.2.2 Стратегия istio Captor
    5.3 Вспомогательные функции
  6. Оценка
    6.1 Покрытие сценариев использования
    6.2 Эксплуатационные компромиссы
    6.3 Производительность
  7. Обсуждение
    7.1 Расширения
  8. Связанные работы
    8.1 Литература по обману в файловых системах
    8.2 Литература по обману в веб-приложениях
    8.3 Работы о политиках и операторах обмана
  9. Заключение
  10. Примеры политик киберобмана
    A.1 Примеры ловушек в файловых системах
    A.2 Примеры ловушек в веб-приложениях
  11. Список литературы

Введение

В бурно развивающемся облачно-нативном мире киберобман становится перспективным подходом, позволяющим нарушать планы злоумышленников до того, как они нанесут реальный ущерб. Киберобман предполагает стратегическое размещение ловушек, приманок или honeytoken-ов по всей инфраструктуре с целью обнаружения, задержки и анализа потенциальных атакующих. Благодаря широкому распространению платформ оркестрации контейнеров, таких как Kubernetes, подобные техники можно внедрять прозрачно — без доступа к исходному коду приложений и без его модификации.

Koney — новый фреймворк оркестрации киберобмана, специально разработанный для Kubernetes. Используя модель оператора, Koney позволяет командам описывать, развёртывать, ротировать, мониторить и, при необходимости, удалять разнообразные техники обмана «как код». В этой статье мы детально рассмотрим внутреннее устройство Koney, его проектирование, реализацию и реальные сценарии применения. Также приведены примеры кода и командной строки (Bash и Python), которые показывают, как разработчики могут интегрировать киберобман в свои кластеры Kubernetes.

После прочтения вы узнаете:

  • что такое киберобман и почему он важен в современной кибербезопасности;
  • как Koney применяет политики обмана «как код» в кластерах Kubernetes;
  • как взаимодействуют ключевые компоненты — стратегии развёртывания приманок и перехватчиков;
  • реальные примеры и команды для непрерывного мониторинга и обнаружения эксплуатации.

Материал рассчитан как на новичков, так и на опытных специалистов, желающих применять облачно-нативный обман.


Постановка задачи

Несмотря на очевидные преимущества киберобмана в раннем обнаружении и сдерживании атак, многие организации не спешат внедрять такие технологии. Причины включают:

  • опасения перед сложными процедурами развёртывания;
  • неуверенность в том, как описывать и поддерживать политики «как код»;
  • трудности управления динамичными средами без изменения исходного кода приложений.

Koney отвечает на два критически важных вопроса:

  1. Как формализовать техники киберобмана в виде структурированных политик?
  2. Как автоматически развёртывать эти политики в Kubernetes-кластере без доступа к исходникам приложений?

Фреймворк использует облачно-нативные технологии (например, сервис-мэш Istio и встроенные eBPF-механизмы ядра) для прозрачного внедрения обмана в существующие контейнерные приложения. Цель — упростить эксплуатационные аспекты: поддерживаемость, масштабируемость и производительность, устранив технические барьеры, мешающие внедрению.


Терминология Kubernetes

Для понимания Koney важно владеть основными терминами Kubernetes.

  • Pod — минимальная развёртываемая единица, состоящая из одного или нескольких контейнеров с общими сетью и хранилищем.
  • Deployment — абстракция, управляющая набором реплик pod-ов и поддерживающая требуемое состояние.
  • Operator — кастомный контроллер, расширяющий функциональность Kubernetes путём автоматизации рутинных действий. Оператор Koney отвечает за развёртывание политик обмана.
  • Service Mesh — послойная инфраструктура (например, Istio), обеспечивающая безопасное взаимодействие сервисов через сайдкары.
  • eBPF (extended Berkeley Packet Filter) — технология, позволяющая запускать программы в ядре Linux без его модификации, обеспечивая высокопроизводительный мониторинг и безопасность.
  • Custom Resource Definition (CRD) — механизм расширения API Kubernetes пользовательскими ресурсами; именно на CRD основывается описание политик обмана в Koney.

Пример из практики: мониторинг pod-а

# Просмотр сетевого трафика внутри pod-а
kubectl exec -it <pod-name> -- tcpdump -i eth0 -nn

Эта команда помогает обнаружить аномальные всплески трафика, что может указывать на сканирование или эксфильтрацию данных. Аналогично Koney использует сайдкары и eBPF-пробы для внедрения обмана без нарушения работы приложений.


Политики киберобмана

Политики киберобмана описывают конфигурацию и логику приманок и ловушек. В Koney они хранятся «как код», что позволяет версионировать и рецензировать их стандартными инструментами.

Ловушки в файловых системах

Здесь применяются honeyfile-ы, honeytoken-ы, honeydocument-ы и honeydirectory. Они имитируют ценные активы; доступ к ним сигнализирует о возможной атаке.

Сценарии:
  • Honeytoken — небольшой файл с паролями, ключами или псевдокредами.
  • Honeydocument — PDF или Office-документ, «содержащий» конфиденциальные данные.
  • Honeydirectory — целая иерархия директорий с фиктивными данными.

Пример YAML-политики:

apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
  name: honeytoken-policy
spec:
  trapType: fileSystem
  details:
    fileName: "secrets.txt"
    content: "username: admin\npassword: Pa$w0rd123"
    triggerAlert: true

Ловушки в веб-приложениях

Веб-ловушки нацелены на HTTP-трафик: внедрение фиктивных эндпоинтов, изменение заголовков и тел ответов или подмена страниц.

Фиксированные HTTP-ответы

Предопределённые ответы на несуществующие пути (например, фальшивый /wp-admin) заманивают атакующего.

Модификация HTTP-заголовков

Подмена «Server» может ввести злоумышленника в заблуждение относительно используемого ПО.

Модификация тела HTTP-ответа

Изменение HTML/CSS/JS, например добавление фиктивной строки в robots.txt.

Пример YAML:

apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
  name: web-deception-policy
spec:
  trapType: webApplication
  details:
    endpoint: "/wp-admin"
    responseType: fixed
    responseContent: "<html><body><h1>Fake Admin Login Portal</h1></body></html>"
    triggerAlert: true

Выбор ресурсов

Политики задают область применения — по меткам, неймспейсам и т. д.

apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
  name: target-specific-policy
spec:
  trapType: fileSystem
  selector:
    matchLabels:
      role: sensitive
  details:
    fileName: "credentials.log"
    content: "dummy-credentials"
    triggerAlert: true

Ловушка разворачивается только в pod-ах с меткой role: sensitive, снижая число ложных срабатываний и издержек.


Оператор Koney

Оператор автоматизирует полный жизненный цикл обмана: установку, ротацию, оповещение и удаление.

Стратегии развёртывания приманок

Стратегия containerExec

Оператор выполняет команды внутри контейнера, создавая файлы или изменяя конфигурацию.

# Создать honeytoken в pod-е
kubectl exec -it <pod-name> -- /bin/sh -c "echo 'dummy data' > /app/honeytoken.txt"
Стратегия volumeMount

Приманка поставляется через отдельный том, подключённый к контейнеру.

apiVersion: v1
kind: Pod
metadata:
  name: decoy-pod
spec:
  containers:
  - name: app
    image: myapp:latest
    volumeMounts:
    - name: deception-volume
      mountPath: /app/decoy-files
  volumes:
  - name: deception-volume
    configMap:
      name: decoy-config
Стратегия istio Decoy

Используя Istio, оператор перехватывает и модифицирует HTTP-запросы.

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: deception-virtual-service
spec:
  hosts:
  - myapp.example.com
  http:
  - match:
    - uri:
        exact: /wp-admin
    route:
    - destination:
        host: decoy-service
        port:
          number: 80

Стратегии развёртывания перехватчиков

Стратегия tetragon

Tetragon (eBPF) фиксирует системные вызовы и сетевые события.

import json

def parse_tetragon_log(log_file):
    with open(log_file, 'r') as f:
        for line in f:
            try:
                event = json.loads(line)
                if 'deception_triggered' in event:
                    print("Подозрительный доступ:", event)
            except json.JSONDecodeError:
                continue

if __name__ == "__main__":
    parse_tetragon_log('/var/log/tetragon/deception.log')
Стратегия istio Captor

Envoy-фильтры собирают метаданные HTTP-запросов.

apiVersion: networking.istio.io/v1alpha3
kind: EnvoyFilter
metadata:
  name: captor-filter
spec:
  workloadSelector:
    labels:
      app: myapp
  configPatches:
  - applyTo: HTTP_FILTER
    match:
      context: SIDECAR_INBOUND
    patch:
      operation: INSERT_BEFORE
      value:
        name: envoy.filters.http.lua
        typed_config:
          "@type": "type.googleapis.com/envoy.extensions.filters.http.lua.v3.Lua"
          inlineCode: |
            function envoy_on_request(request_handle)
              local headers = request_handle:headers()
              request_handle:logInfo("Captor Trigger: " .. headers:get("User-Agent"))
            end

Вспомогательные функции

  • Валидация политик
  • Ротация приманок
  • Оповещение и отчёты
  • Очистка ресурсов

Оценка

Покрытие сценариев использования

Koney охватывает:

  • honeyfile-ы в файловых системах;
  • фиктивные HTTP-ответы и подмену заголовков;
  • динамическое внедрение эндпоинтов через Istio.

В тестовом кластере обнаруживаемость известных техник атак превысила 90 %.

Эксплуатационные компромиссы

  • Потребление ресурсов минимально по сравнению с выигрышем в безопасности.
  • Ложные срабатывания уменьшаются за счёт точного выбора ресурсов.
  • Сложность vs. гибкость: оператор скрывает сложность за YAML-политиками.

Производительность

  • Задержка reconciler-а < 100 мс.
  • Приманки не влияют на рабочий трафик.
  • Tetragon и Envoy работают на линии.

Обсуждение

Расширения

  • Поддержка не-HTTP протоколов (FTP, SSH, базы данных).
  • Интеграция ML для снижения ложных срабатываний.
  • GUI-панели реального времени.
  • Экспорт событий в SIEM (Splunk, ELK и др.).

Связанные работы

Литература по обману в файловых системах

…

Литература по обману в веб-приложениях

…

Работы о политиках и операторах обмана

…


Заключение

Koney снижает барьер внедрения киберобмана в облачно-нативные среды, предлагая:

  • детальную схему политик для файловых систем и веб-приложений;
  • гибкие стратегии (containerExec, volumeMount, Istio);
  • эффективные перехватчики для логирования и реагирования.

Примеры политик киберобмана

A.1 Примеры ловушек в файловых системах

apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
  name: filesystem-honeytoken
spec:
  trapType: fileSystem
  selector:
    matchLabels:
      app: sensitive-data
  details:
    fileName: "credentials.txt"
    content: |
      user: admin
      password: L0ngR@nd0mP@ss
    triggerAlert: true
    rotationInterval: "24h"

A.2 Примеры ловушек в веб-приложениях

apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
  name: webapp-deception
spec:
  trapType: webApplication
  selector:
    matchLabels:
      app: my-web-app
  details:
    endpoint: "/admin"
    responseType: fixed
    responseContent: |
      <html>
      <body>
        <h2>Decoy Admin Panel</h2>
        <p>Эта страница — приманка. Любой несанкционированный доступ логируется.</p>
      </body>
      </html>
    triggerAlert: true
    rotationInterval: "12h"

Оценка: пример интеграции

# Применение политик
kubectl apply -f filesystem-honeytoken.yaml
kubectl apply -f webapp-deception.yaml

# Просмотр логов оператора
kubectl logs -f deployment/koney-operator -n security

Python-скрипты и SIEM-интеграции далее анализируют события и, при необходимости, изолируют pod.


Список литературы

  1. Документация Kubernetes
  2. Сайт Istio
  3. Документация eBPF
  4. Dynatrace Blog – Cyber Deception
  5. GitHub – Koney Operator
  6. Проект Tetragon
  7. Service Mesh Patterns

Дополнительная литература:

  • Научные статьи по стратегиям киберобмана.
  • Документация по CRD в Kubernetes.

Koney демонстрирует, как современные техники оркестрации могут сочетаться с приёмами обмана, обеспечивая более проактивную защиту контейнерных сред. Попробуйте Koney в своих кластерах Kubernetes и присоединяйтесь к развитию технологий киберобмана.

Счастливого обмана!

🚀 ГОТОВЫ К ПОВЫШЕНИЮ УРОВНЯ?

Поднимите свою карьеру в кибербезопасности на новый уровень

Если вы нашли этот контент ценным, представьте, чего вы могли бы достичь с нашей комплексной 47-недельной элитной обучающей программой. Присоединяйтесь к более чем 1200 студентам, которые изменили свою карьеру с помощью техник Подразделения 8200.

Записаться на полную программуПосмотреть учебный план
97% Трудоустройство
Элитные техники Подразделения 8200
42 Практические лаборатории