Ханипот

Ханипот — это обманный актив, имитирующий настоящий сервер, приложение или данные, поэтому любое взаимодействие с ним по определению является подозрительным. Низкоинтерактивные ханипоты эмулируют ограниченный набор сервисов и выявляют сканирование и массовое вредоносное ПО, тогда как высокоинтерактивные запускают полноценные операционные системы и фиксируют сложные техники атакующих. Защитники используют собранную телеметрию для извлечения индикаторов компрометации, изучения TTPs и развития инженерии обнаружения. Ханипот должен быть изолирован от продуктивной сети, чтобы не превратиться в плацдарм для атаки, а его данные обычно направляются в SIEM или платформу threat intelligence.