Architettura del sistema Hoxey

Disponibile in:ENIT

Questo articolo è rivolto a un pubblico tecnico.
Quanto descritto qui non è una roadmap né una demo. È ciò che offriamo oggi.

L’architettura Hoxey è composta da 6 servizi “non proprio micro”, ciascuno responsabile di compiti specifici, isolati e con interazioni accuratamente ottimizzate.
Per ulteriori informazioni sul modello di sicurezza, puoi leggere questo articolo

Orchestrator

L’Orchestrator è il cuore del servizio; è il decisore finale e la fonte di verità.

L’obiettivo dell’Orchestrator è creare gli abbinamenti Device→Honeypot.
Per farlo, l’Orchestrator:

  • Attende una richiesta di pairing da un Device
  • Valida la richiesta rispetto a un insieme di parametri
  • Recupera dal database la configurazione corretta e il Template dell’Honeypot
  • Genera due coppie di chiavi di cifratura per il tunnel virtuale
  • Seleziona l’Hypervisor più adatto su cui effettuare il deployment
  • Istanzia la VM desiderata a partire dal template, iniettando la configurazione
  • Una volta pronta, risponde alla richiesta iniziale del Device con la configurazione da usare per il tunnel

L’Orchestrator è inoltre responsabile della gestione e del monitoraggio dello stato di salute di Device e Hypervisor.

Dashboard

La Dashboard è il pannello amministrativo multi-tenant per lo staff Hoxey e per i clienti.

L’obiettivo della Dashboard è gestire tutto ciò che riguarda i clienti. Agisce come interfaccia tra le persone e l’Orchestrator.
Più nel dettaglio, la Dashboard è responsabile di:

  • Ricevere e filtrare gli alert di sicurezza provenienti dagli Honeypot
  • Gestire canali aggiuntivi di notifiche push, come Teams, Slack, Telegram e altri
  • Gestire gli Honeypot, dalla selezione dei template, integrazioni e personalizzazioni fino allo stato e alla salute
  • Gestire fatturazione e pagamenti
  • Aggiungere e gestire account aggiuntivi

Clienti e staff non possono collegarsi direttamente all’Orchestrator; le loro richieste devono prima essere validate dalla Dashboard e infine inoltrate all’Orchestrator tramite una API Key segreta.

Hypervisor

Gli Hypervisor sono i veri operai dell’infrastruttura; ospitano le VM degli Honeypot.
Dato il loro compito, ovvero ospitare honeypot potenzialmente compromessi da intrusi, vengono trattati come non affidabili.
Non custodiscono segreti e non possono comunicare con nessun altro elemento dell’infrastruttura. Possono solo eseguire ordini provenienti dall’Orchestrator.

Gli Hypervisor non sono in cluster, poiché la compromissione di uno potrebbe propagarsi agli altri con un effetto a catena. Tuttavia garantiscono comunque l’Alta Disponibilità non tramite la migrazione delle VM, ma consentendo all’Orchestrator di re-istanziarle su un altro nodo.

Device

Il ruolo del Device è far apparire la VM Honeypot remota, ospitata nel cloud, come se fosse all’interno della tua rete locale, mentre in realtà è isolata e messa in quarantena in modo sicuro su un Hypervisor.
Questo avviene grazie a un tunnel virtuale L3 cifrato e monodirezionale. Questa soluzione è il cuore del nostro modello di sicurezza e utilizza algoritmi proprietari e in fase di brevetto. È da qui che è nata Hoxey.

Il Device è un componente particolare, poiché non prende ordini da nessuno, nemmeno dall’Orchestrator.
Sebbene l’Orchestrator possa negare una richiesta proveniente da un Device, non può costringerlo a fare nulla.
Il Device contatta proattivamente l’Orchestrator per effettuare richieste o notificare eventi, ma NON riceve mai richieste in ingresso. Il Device riceve solo risposte.

Questo significa che il Device è completamente isolato e non è soggetto ad attacchi di tipo supply-chain. Non conserviamo nemmeno le chiavi del device e, anche se lo facessimo, non avremmo modo di usarle perché il device rifiuta qualsiasi connessione in ingresso.

L’intera infrastruttura Hoxey è costruita con l’Orchestrator al centro, ma il suo unico scopo è servire le richieste dei Device. Sì, il piccolo dispositivo che ti spediamo.

Virtual Machines

Le VM sono gli Honeypot veri e propri. Girano all’interno degli Hypervisor e vengono istanziate a partire da template predefiniti.

Gli Honeypot sono effimeri: sono copie temporanee di sistemi reali e non lasciano tracce. Sono progettati per essere eliminati.
Sono inoltre completamente personalizzabili tramite lo script di inizializzazione, che consente ad agenti di terze parti e a syslog collector di inoltrare eventi verso praticamente qualsiasi altro sistema di sicurezza.

Un altro vantaggio è la gestione centralizzata: possiamo aggiornare l’intera flotta in pochi minuti e ottimizzare il consumo delle risorse.

La VM Honeypot appare come se fosse all’interno della tua rete ed è completamente interattiva.
È progettata per tenere occupati gli intrusi e far loro perdere tempo.

Detection Engine

Il Detection Engine è un software di sicurezza sviluppato su misura per rilevare attacchi agli Honeypot.

A differenza dei sistemi di sicurezza tradizionali, come i collector SIEM, il Detection Engine di Hoxey è progettato specificamente per operare all’interno di un Honeypot e ridurre rumore e falsi positivi quasi a zero. È piccolo, ma potente.

La maggior parte dei competitor utilizza due componenti: honeypot che girano direttamente sull'hardware e una dashboard per gli alert.

La nostra architettura, con brevetto in fase di registrazione, è progettata da zero seguendo una stringente filosofia Zero-Trust per proteggere i clienti da movimenti laterali, offrendo al contempo flessibilità e numerose funzionalità non disponibili o accessibili solo tramite costosi upsell presso i competitor.

La nostra missione è servire il mercato PMI con una soluzione ampiamente accessibile, senza rinunciare alla sicurezza e alle capacità di rilevamento e deception.

Ti è stato utile?

Entra nell'Alveare per intelligence sugli attaccanti e webinar sulla cybersecurity - spiegati facilmente da un vero Hacker

Entra nell'Alveare - GratisPrenota una Demo