SYSTEM ONLINE · build / v1.0 · region / RU · CIS · last index sync / 04.06.2026 / 13:11 UTC
· войти →
cyber-index.ru
исследование 3 июня 2026

Что такое Deception Technology и honeypot

Deception Technology (технология обмана) — это класс защиты, который раскладывает по инфраструктуре поддельные активы: ложные серверы, сервисы, учётные записи, файлы и секреты. Для злоумышленника они неотличимы от настоящих, но для бизнеса бесполезны — поэтому любое обращение к ним почти наверняка означает атаку. Honeypot (приманка-ловушка) — это исторически первый и самый известный элемент такого подхода: отдельный фальшивый хост, который «ждёт», что его просканируют или взломают. **Если коротко:** honeypot — это один кирпичик, honeynet — сеть из таких кирпичиков, а deception-платформа — это управляемый слой ложных активов поверх всей инфраструктуры с автоматической расстановкой приманок, honeytoken'ов и интеграцией с SIEM/SOC. Главная ценность — раннее обнаружение и крайне низкий уровень ложных срабатываний: у нормального сотрудника нет причин трогать ловушку. Ниже разбираем типы ловушек, отличия терминов и чек-лист внедрения. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге deception-платформ](/rating/deception-technology-honeypot).

7 мин. чтения Блоки данных: 6 Позиции: не продаются Авторы: Полина Лебедева
security context

Визуальный контекст исследования

Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.

Тематическое фото для исследования: Что такое Deception Technology и honeypot
Тематическая иллюстрация к исследованию: Что такое Deception Technology и honeypot. panumas nikhomkhai / Pexels
shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.
methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

Полина Лебедева author Полина Лебедева Исследователь рынка ИБ-поставщиков

Собирает и сравнивает данные по подрядчикам, услугам, публичным кейсам, ценовым диапазонам и рыночным сегментам.

  • 5 лет в market research, digital-аналитике и конкурентных обзорах
  • Специализация: ИБ-поставщики, сервисные категории, прайс-анализ и case review
Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Что такое Deception Technology простыми словами

Классические средства защиты (антивирус, IPS, EDR) отвечают на вопрос «это поведение похоже на вредоносное?» и неизбежно ошибаются: легитимная активность бывает подозрительной, а атака — тихой. Deception Technology переворачивает логику. Вместо того чтобы угадывать намерение, она создаёт активы, к которым у легитимного пользователя нет ни одной причины обращаться. Сработала ловушка — значит, кто-то уже внутри периметра и осматривается.

Отсюда два ключевых свойства подхода:

- **Раннее обнаружение.** Приманки чаще всего срабатывают на этапе разведки и бокового перемещения (lateral movement) — задолго до того, как атакующий доберётся до настоящих данных. - **Низкий false positive.** Обращение к фальшивому ресурсу — это почти всегда сигнал высокой достоверности, а не «шум», который тонет в потоке алертов SOC.

Honeypot, honeynet и deception-платформа: в чём разница

Термины часто путают, хотя это разные уровни зрелости одной идеи. Honeypot — отдельная ловушка. Honeynet — целая поддельная сеть из ловушек, имитирующая сегмент инфраструктуры. Deception-платформа — это уже промышленный продукт: централизованное управление, массовая автоматическая расстановка приманок и honeytoken'ов на реальных хостах, аналитика и интеграция с SOC.

Понятие Что это Масштаб Типичное применение
Honeypot Один поддельный хост или сервис как приманка Точечный Исследование атак, ловушка в сегменте
Honeynet Сеть из honeypot'ов, имитирующая инфраструктуру Сегмент/сеть Анализ поведения атакующего, threat intelligence
Honeytoken Поддельный артефакт-«маячок»: учётка, файл, ключ, запись в БД Объект Раскладывается на реальных хостах как сигнализация
Deception-платформа Управляемый слой ложных активов поверх всей сети Вся инфраструктура Промышленное раннее обнаружение, интеграция с SIEM/SOC

Типы ловушек и приманок: что и зачем расставляют

На практике deception строится из нескольких видов объектов. Одни имитируют целые системы, другие — отдельные «крошки», ведущие атакующего в ловушку. Ниже — ориентир по назначению.

Тип ловушки Что имитирует Назначение
Серверная приманка (honeypot) Поддельный сервер, RDP/SSH, веб-сервис, БД Ловит сканирование и попытки эксплуатации
Сетевая ловушка (honeynet) Сегмент сети с несколькими фальшивыми узлами Фиксирует боковое перемещение и разведку
Honeytoken — учётная запись Привлекательную «админскую» учётку Сигнал при попытке использования украденных кредов
Honeytoken — файл/документ Файл с «секретами», договор, выгрузку Срабатывает при открытии/эксфильтрации
Honeytoken — секрет/ключ API-ключ, токен, строку подключения к БД Ловит атакующего, искавшего секреты в коде/памяти
Приманка-«крошка» (breadcrumb) Запись в истории, закладку, mapped-диск Ведёт атакующего от реального хоста к ловушке
Приманка в Active Directory Фальшивые объекты AD, SPN, доверия Обнаруживает разведку и атаки на каталог

Сильные стороны deception по типам обнаружения

Усреднённая редакционная оценка по открытым данным: насколько класс deception силён в разных сценариях. Это не вендорский бенчмарк и не заменяет пилот.

Боковое перемещение (lateral movement) 90 /100
90 /100
Кража и переиспользование учётных данных 90 /100
90 /100
Разведка и сканирование внутри сети 85 /100
85 /100
Атаки на Active Directory 80 /100
80 /100
Раннее обнаружение до доступа к данным 85 /100
85 /100
Низкий уровень ложных срабатываний 95 /100
95 /100

Зачем бизнесу deception: где это работает лучше всего

Deception не заменяет EDR, SIEM или NGFW — это дополнительный слой, который силён там, где сигнатурные методы слепнут. Он особенно полезен против целевых атак, инсайдеров и программ-вымогателей: на этапе, когда злоумышленник уже обошёл периметр и перемещается по сети, любая ловушка превращает его собственную разведку в сигнал тревоги.

- **Достоверный алерт.** Срабатывание ловушки — событие высокой приоритетности, его не нужно «доказывать» аналитику SOC. - **Сокращение времени обнаружения.** Раннее срабатывание уменьшает «окно» между проникновением и реакцией. - **Threat intelligence.** Honeynet даёт наблюдаемые TTP атакующего — пригодится для сверки с [БДУ ФСТЭК](https://bdu.fstec.ru/) и обогащения правил детектирования. - **Минимум нагрузки на пользователей.** Ложные активы не мешают работе сотрудников — они их попросту не видят.

Чек-лист внедрения deception

Определите цель что важнее: раннее обнаружение, защита AD, ловушки в DMZ или сбор threat intelligence.
Выберите критичные сегменты где расставлять ловушки в первую очередь (домен, ЦОД, сети с ПДн).
Подберите типы приманок honeypot, honeynet и honeytoken под ваши сценарии атак.
Обеспечьте достоверность ловушки должны быть неотличимы от настоящих активов по именам, ОС и сервисам.
Настройте интеграцию с SOC проброс событий в SIEM и плейбуки реагирования на срабатывания.
Проверьте автоматизацию массовая расстановка и обновление приманок без ручной рутины.
Сверьте комплаенс статус в реестре отечественного ПО и сертификат ФСТЭК под вашу задачу.
Заложите пилот тестовая расстановка в одном сегменте до закупки и тендера.
Сравните вендоров по подтверждённым внедрениям в [рейтинге deception-платформ](/rating/deception-technology-honeypot).

Как развернуть deception: 5 шагов

  1. 01 Инвентаризация и цели

    Определите критичные активы и сценарии угроз, которые хотите ловить (boковое перемещение, кража кредов, атаки на AD).

  2. 02 Дизайн приманок

    Спроектируйте набор ловушек и honeytoken'ов так, чтобы они выглядели правдоподобно в вашей среде.

  3. 03 Пилотная расстановка

    Разверните deception в одном сегменте, проверьте достоверность и отсутствие помех легитимной работе.

  4. 04 Интеграция с SOC

    Подключите события к SIEM, опишите плейбуки реагирования и приоритеты алертов.

  5. 05 Масштабирование и сопровождение

    Расширьте покрытие на остальные сегменты, автоматизируйте обновление приманок, регулярно ротируйте их.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Поставщики deception-решений сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом deception-платформ](/rating/deception-technology-honeypot): здесь — суть технологии и критерии, там — сравнение конкретных компаний по подтверждённым фактам.

Следующий шаг

Разобрались с тем, что такое ловушки и приманки — переходите к сравнению поставщиков: **[рейтинг deception-платформ →](/rating/deception-technology-honeypot)**. Полезно прочитать рядом: [рейтинг российских deception-платформ 2026](/research/reyting-rossiyskih-deception-2026), [чем заменить Attivo и TrapX](/research/zamena-attivo-trapx-deception) и [как ловушки и honeypot помогают раньше обнаруживать атаки](/research/lovushki-honeypot-obnaruzhenie-atak).

Частые вопросы

Чем honeypot отличается от deception-платформы?

Honeypot — это одна ловушка, отдельный поддельный хост или сервис. Deception-платформа — промышленный продукт, который централизованно управляет множеством ловушек и honeytoken'ов по всей инфраструктуре, автоматизирует их расстановку и интегрируется с SIEM/SOC.

Что такое honeytoken?

Это поддельный артефакт-«маячок»: фальшивая учётная запись, файл с «секретами», API-ключ или запись в базе данных. Его раскладывают на реальных хостах: любое обращение к нему служит сигналом, что атакующий уже внутри и ищет, чем поживиться.

Почему у deception так мало ложных срабатываний?

Потому что у легитимного сотрудника нет причин обращаться к ложным активам — он их не видит и не использует в работе. Поэтому почти любое срабатывание ловушки — это событие высокой достоверности, а не «шум» в потоке алертов.

Заменяет ли deception EDR, SIEM или NGFW?

Нет. Это дополнительный слой обнаружения, а не замена средствам защиты периметра и хостов. Deception силён там, где сигнатурные методы слепнут — на этапе разведки и бокового перемещения внутри сети, — и работает в связке с остальным стеком.

Где сравнить конкретных вендоров между собой?

В рейтинге deception-платформ — там компании ранжированы по подтверждённым сигналам, а не по рекламе.

verification

Источники и метод проверки

Deception Technology (технология обмана) — это класс защиты, который раскладывает по инфраструктуре поддельные активы: ложные серверы, сервисы, учётные записи, файлы и секреты. Для злоумышленника они неотличимы от настоящих, но для бизнеса бесполезны — поэтому любое обращение к ним почти наверняка означает атаку. Honeypot (приманка-ловушка) — это исторически первый и самый известный элемент такого подхода: отдельный фальшивый хост, который «ждёт», что его просканируют или взломают. **Если коротко:** honeypot — это один кирпичик, honeynet — сеть из таких кирпичиков, а deception-платформа — это управляемый слой ложных активов поверх всей инфраструктуры с автоматической расстановкой приманок, honeytoken'ов и интеграцией с SIEM/SOC. Главная ценность — раннее обнаружение и крайне низкий уровень ложных срабатываний: у нормального сотрудника нет причин трогать ловушку. Ниже разбираем типы ловушек, отличия терминов и чек-лист внедрения. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге deception-платформ](/rating/deception-technology-honeypot).

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России source Банк данных угроз безопасности информации (БДУ) ФСТЭК России
Рейтинг deception-платформ Сравнить поставщиков по подтверждённым сигналам Рейтинг российских deception-платформ 2026 Чем заменить Attivo и TrapX: отечественные deception-решения Как ловушки и honeypot помогают раньше обнаруживать атаки
next step

Сравнить подрядчиков по рейтингу

Исследование помогает сформулировать критерии. Для короткого списка используйте категории рейтинга и карточки компаний.

Рейтинг deception-платформ
NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.