исследование 3 июня 2026

Как ловушки и honeypot помогают раньше обнаруживать атаки

Ловушки (honeypot) и более широкая технология обмана (deception) — это специально расставленные приманки: фейковые сервисы, учётные записи, файлы и хосты, к которым у легитимного сотрудника нет причин обращаться. Любое касание такой приманки — почти всегда сигнал о вторжении, потому что обычный пользователь о ней даже не знает. **Если коротко:** главная ценность ловушек — раннее обнаружение и низкий уровень ложных срабатываний. Они ловят атакующего на этапе разведки и горизонтального перемещения, когда он ещё не дошёл до критичных данных, и дают сигнал высокой достоверности — в отличие от тысяч «шумных» событий SIEM. Ниже разбираем, где расставлять приманки, какие они бывают, как именно ловушки фиксируют движение внутри сети и как собрать чек-лист размещения. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге deception-платформ](/rating/deception-technology-honeypot).

8 мин. чтения Блоки данных: 6 Позиции: не продаются Авторы: Полина Лебедева

Короткий вывод

security context

Визуальный контекст исследования

Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.

Тематическое фото для исследования: Как ловушки и honeypot помогают раньше обнаруживать атаки — Тематическая иллюстрация к исследованию: Как ловушки и honeypot помогают раньше обнаруживать атаки. Brett Sayles / Pexels

shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.

methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

author Полина Лебедева Исследователь рынка ИБ-поставщиков

Собирает и сравнивает данные по подрядчикам, услугам, публичным кейсам, ценовым диапазонам и рыночным сегментам.

5 лет в market research, digital-аналитике и конкурентных обзорах
Специализация: ИБ-поставщики, сервисные категории, прайс-анализ и case review

Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Почему ловушка обнаруживает атаку раньше других средств

Классические средства защиты (антивирус, IPS, SIEM) ищут признаки вредоносной активности в общем потоке легитимного трафика и событий. Это порождает фоновый шум и ложные срабатывания: чтобы не пропустить атаку, аналитик вынужден разбирать сотни сомнительных событий в день.

Ловушка работает по обратному принципу. Это объект, у которого **нет легитимного назначения**: к фейковому файловому серверу, к «забытой» учётной записи администратора или к подложному ключу в памяти хоста обычный сотрудник или штатный процесс не обращается никогда. Поэтому само обращение к приманке — это уже аномалия, а не повод для разбора. Отсюда два ключевых свойства deception:

- **Раннее обнаружение.** Атакующий взаимодействует с приманками на этапе разведки и перемещения вглубь сети — задолго до кражи данных или шифрования. - **Низкий false positive.** Сигнал бинарный: касание приманки практически всегда означает либо внешнего нарушителя, либо инсайдера, либо некорректно настроенный сканер.

Какие бывают приманки: типы ловушек

Под «honeypot» часто понимают только отдельный фейковый сервер, но современная технология обмана работает на нескольких уровнях — от полноценных ложных хостов до отдельных записей в памяти рабочей станции.

- **Honeypot (ловушка-хост).** Эмулируемый или реальный сервис (RDP, SSH, SMB, веб, СУБД), выглядящий как привлекательная цель. Любое подключение к нему подозрительно. - **Honeynet (сеть ловушек).** Целый сегмент из ловушек, имитирующий рабочую инфраструктуру, чтобы наблюдать тактику атакующего и увести его от боевых систем. - **Приманки-токены (honeytoken).** Фейковые учётные записи, API-ключи, документы, строки подключения. Срабатывают при попытке использования — даже за пределами сети-ловушки. - **Хлебные крошки (breadcrumbs / lures).** Подложные следы на реальных хостах — сохранённые «учётки», записи в браузере, маппинги дисков, которые ведут атакующего к ловушке. - **Honeypot-аккаунты в AD.** Неиспользуемые учётные записи и объекты в Active Directory; обращение к ним выдаёт разведку и попытки повышения привилегий.

Где расставлять ловушки

Эффективность deception определяется не количеством приманок, а их размещением на пути типичного атакующего. Ловушки имеет смысл распределять по всем зонам, через которые проходит вторжение:

- **Периметр и DMZ** — ловушки-сервисы ловят внешнее сканирование и первые попытки доступа. - **Пользовательский сегмент** — хлебные крошки на рабочих станциях, чтобы перехватить перемещение сразу после компрометации первого хоста. - **Серверный сегмент и ЦОД** — фейковые файловые серверы, БД и сервисы рядом с боевыми. - **Active Directory** — honeypot-аккаунты и объекты для обнаружения разведки и эскалации. - **Критичные данные** — honeytoken-документы и ключи внутри хранилищ, чтобы поймать атакующего у самой цели.

Этап атаки (kill chain)	Что делает атакующий	Какая ловушка сработает
Разведка	Сканирует сеть, ищет открытые сервисы	Honeypot-сервисы в DMZ и сегментах
Первичный доступ	Закрепляется на первом хосте	Хлебные крошки на рабочей станции
Повышение привилегий	Ищет учётные записи администраторов	Honeypot-аккаунты и объекты в AD
Горизонтальное перемещение	Переходит к соседним хостам, мапит диски	Фейковые файловые серверы, SMB-ловушки
Сбор учётных данных	Выгружает пароли и ключи из памяти/хранилищ	Honeytoken-«учётки», подложные ключи
Доступ к данным	Открывает «ценные» документы	Honeytoken-документы в хранилищах
Эксфильтрация / запуск	Пытается вынести или зашифровать данные	Приманки рядом с боевыми ресурсами

Как ловушки обнаруживают горизонтальное перемещение

Горизонтальное перемещение (lateral movement) — самый опасный и при этом самый «тихий» этап атаки: нарушитель уже внутри и действует под легитимными учётными данными, поэтому периметровые средства его не видят. Именно здесь deception даёт максимальную отдачу.

Логика проста. После компрометации первого хоста атакующий начинает осматриваться: читает сохранённые учётные данные, проверяет сетевые папки, перебирает соседние машины. Хлебные крошки подсовывают ему привлекательные, но фальшивые пути — например, сохранённую «учётку» к файловому серверу-ловушке. Как только атакующий пробует ею воспользоваться или подключается к ловушке, платформа фиксирует факт перемещения, источник (с какого хоста пришли) и использованные учётные данные. Это даёт SOC точку входа в расследование и позволяет локализовать заражённый сегмент до того, как нарушитель доберётся до боевых систем.

Где deception ловит атаку: относительная отдача по этапам

Усреднённая редакционная оценка относительной отдачи ловушек по этапам атаки (0–100) по открытым данным. Это не вендорский бенчмарк и не заменяет пилот в вашей сети.

Горизонтальное перемещение 95 /100

95 /100

Разведка внутри сети 90 /100

90 /100

Повышение привилегий 85 /100

85 /100

Сбор учётных данных 80 /100

80 /100

Первичный доступ 65 /100

65 /100

Эксфильтрация данных 60 /100

60 /100

Ловушки и honeypot: коротко в цифрах

Тип сигнала бинарный

Касание приманки почти всегда = реальная активность

Ложные срабатывания низкие

У приманки нет легитимных обращений

Раньше всего ловит lateral movement

Этап, который не видят периметровые средства

Уровни приманок 5+

Хосты, honeynet, токены, крошки, AD-аккаунты

Чек-лист размещения ловушек

Карта путей атакующего опишите, как нарушитель идёт от периметра к критичным данным, и расставляйте приманки по этому маршруту.

Покрытие AD заведите honeypot-аккаунты и объекты для обнаружения разведки и повышения привилегий.

Хлебные крошки на хостах разместите подложные учётные данные и следы на рабочих станциях для перехвата перемещения.

Приманки рядом с боевыми ресурсами фейковые файловые серверы и БД должны быть неотличимы от настоящих по именам и расположению.

Honeytoken в данных вложите подложные документы и ключи в хранилища, чтобы поймать атакующего у цели.

Интеграция с SOC заведите алерты ловушек в SIEM/IRP с высоким приоритетом и отдельным сценарием реагирования.

Правдоподобность регулярно обновляйте приманки, чтобы они не отставали от реальной инфраструктуры и не выдавали себя.

Контроль ложных касаний исключите легитимные сканеры и инвентаризацию, чтобы сохранить низкий false positive.

Сравнение вендоров сверьте поставщиков по подтверждённым внедрениям в [рейтинге deception-платформ](/rating/deception-technology-honeypot).

Как развернуть deception: 5 шагов

01 Моделирование угроз
Определите критичные активы и вероятные пути атакующего — это основа для размещения приманок.
02 Пилот в одном сегменте
Разверните ловушки и хлебные крошки на ограниченном участке, проверьте правдоподобность и отсутствие ложных касаний.
03 Интеграция с SOC
Заведите сигналы ловушек в SIEM/IRP, настройте приоритет и сценарии реагирования.
04 Масштабирование по зонам
Покройте периметр, пользовательский и серверный сегменты, Active Directory и хранилища данных.
05 Сопровождение
Поддерживайте приманки актуальными, обновляйте крошки и анализируйте каждое срабатывание как потенциальный инцидент.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Платформы обмана сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом deception-платформ](/rating/deception-technology-honeypot): здесь — принцип работы и критерии, там — сравнение конкретных решений по подтверждённым фактам.

Следующий шаг

Разобрались с принципом работы ловушек — переходите к сравнению поставщиков: **[рейтинг deception-платформ →](/rating/deception-technology-honeypot)**. Полезно прочитать рядом: [что такое Deception Technology и honeypot](/research/chto-takoe-deception-honeypot), [рейтинг российских deception-платформ 2026](/research/reyting-rossiyskih-deception-2026) и [чем заменить Attivo и TrapX](/research/zamena-attivo-trapx-deception).

Частые вопросы

Чем honeypot отличается от deception technology?

Honeypot — это отдельная ловушка-хост или сервис. Технология обмана (deception) — более широкий подход: помимо ловушек-хостов она использует приманки-токены, хлебные крошки на реальных машинах и honeypot-объекты в Active Directory, покрывая весь путь атакующего.

Много ли ложных срабатываний дают ловушки?

Мало — в этом их главное преимущество. У приманки нет легитимного назначения, поэтому обращение к ней почти всегда означает реальную активность нарушителя. Достаточно исключить штатные сканеры и инвентаризацию, чтобы сигнал оставался высокодостоверным.

Заменяют ли ловушки SIEM, EDR или NGFW?

Нет, они их дополняют. Ловушки дают раннее обнаружение с низким шумом, особенно на этапе горизонтального перемещения, который периметровые средства не видят. В связке с SIEM и EDR deception ускоряет обнаружение и расследование, но не заменяет базовые средства защиты.

Как ловушки помогают против шифровальщиков?

Программы-вымогатели обычно сначала перемещаются по сети и ищут файловые ресурсы. Приманки рядом с боевыми серверами и honeytoken-документы срабатывают на этом этапе, давая SOC шанс остановить атаку до массового шифрования.

Где сравнить конкретные deception-платформы между собой?

В рейтинге deception-платформ — там решения ранжированы по подтверждённым сигналам, а не по рекламе.

verification

Источники и метод проверки

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России source Банк данных угроз безопасности информации (БДУ) ФСТЭК России

Рейтинг deception-платформ Сравнить поставщиков по подтверждённым сигналам Что такое Deception Technology и honeypot Рейтинг российских deception-платформ 2026 Чем заменить Attivo и TrapX: отечественные deception-решения