Honeypot

Ein Honeypot ist ein Täuschungsasset, das einen echten Server, eine Anwendung oder einen Datensatz imitiert; jede Interaktion damit ist deshalb per Definition verdächtig. Low-Interaction-Honeypots emulieren nur wenige Dienste, um Scans und gewöhnliche Schadsoftware aufzuspüren, während High-Interaction-Honeypots vollständige Betriebssysteme betreiben, um fortgeschrittene Vorgehensweisen zu erfassen. Verteidiger gewinnen aus der erfassten Telemetrie Indicators of Compromise, untersuchen TTPs und speisen damit ihre Detection Engineering. Honeypots müssen vom Produktionsnetz isoliert sein, damit sie nicht als Sprungbrett dienen, und ihre Erkenntnisse werden in der Regel an ein SIEM oder eine Threat-Intelligence-Plattform weitergeleitet.