SYSTEM ONLINE · build / v1.0 · region / RU · CIS · last index sync / 04.06.2026 / 13:11 UTC
· войти →
cyber-index.ru
исследование 3 июня 2026

Чем заменить Attivo и TrapX: отечественные deception-решения

Attivo Networks (поглощена SentinelOne) и TrapX свернули прямые поставки и поддержку в России, а их платформы deception — распределённые ловушки (honeypot), приманки (lures) и обманные учётные записи — выпали из легального обновления и сопровождения. Эти решения закрывали раннее обнаружение латерального перемещения и кражи учётных данных там, где не срабатывают сигнатурные средства. На рынке есть отечественные deception-платформы, которые перекрывают тот же контур и проходят по требованиям регуляторов. **Если коротко:** заменить Attivo и TrapX в большинстве сценариев уже есть чем. Выбор зависит не от бренда, а от того, какие именно функции вы использовали (типы ловушек, интеграция с SIEM/EDR, автоматизация реагирования), от масштаба сети и требований ФСТЭК. Ниже — что закрывали Attivo и TrapX, какие отечественные классы решений берут эти функции на себя, что проверять и как спланировать переход. Сравнить конкретных поставщиков по подтверждённым сигналам можно в [рейтинге deception-платформ](/rating/deception-technology-honeypot).

7 мин. чтения Блоки данных: 7 Позиции: не продаются Авторы: Ирина Карпова
security context

Визуальный контекст исследования

Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.

Тематическое фото для исследования: Чем заменить Attivo и TrapX: отечественные deception-решения
Тематическая иллюстрация к исследованию: Чем заменить Attivo и TrapX: отечественные deception-решения. Brett Sayles / Pexels
shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.
methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

Ирина Карпова author Ирина Карпова Редактор методологии и проверки источников

Отвечает за методологию доверительного индекса, проверку источников, редакционные стандарты и риск-сигналы.

  • 9 лет в редакционной аналитике, проверке источников и методологии рейтингов
  • Специализация: due diligence, репутационные сигналы, проверка данных и editorial QA
Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Что закрывали Attivo и TrapX и почему их пришлось менять

Attivo Networks и TrapX были одними из заметных игроков класса deception technology. Их платформы разворачивали по сети сеть приманок и ловушек, имитирующих реальные серверы, рабочие станции, сетевые сервисы, учётные данные и файловые ресурсы. Любое обращение к такому объекту — почти всегда признак атакующего внутри периметра: легитимный пользователь не имеет причин туда стучаться. Это давало раннее обнаружение латерального перемещения и компрометации учётных записей с очень низкой долей ложных срабатываний.

После 2022 года оба вендора стали недоступны для штатной закупки и поддержки в России: прекращены поставки, обновления и сопровождение. Для значимых объектов критической информационной инфраструктуры (КИИ) и госсектора это вдобавок противоречит требованиям к доверенным средствам защиты. «Серые» схемы продления несут юридические и операционные риски, а deception без актуальных приманок и сопровождения быстро теряет ценность. Поэтому вопрос звучит не «менять ли», а «на что и как».

Замена Attivo и TrapX: коротко в цифрах

Ушли с рынка 2

Attivo (в составе SentinelOne) и TrapX — поставки и поддержка свёрнуты

Ключевая ценность класса раннее обнаружение

Латеральное перемещение и кража учётных данных внутри периметра

Что важно для КИИ доверенные СЗИ

Реестр отечественного ПО и сертификация ФСТЭК под задачу

Типичный пилот 2–4 нед.

Проверка типов ловушек и интеграций на вашей инфраструктуре

Отечественные deception-решения как ориентир

Ниже — карта «функция Attivo/TrapX → отечественный класс/кандидаты». Это **ориентир**, а не рейтинг: конкретные места, баллы и подтверждённые сигналы смотрите в [рейтинге категории](/rating/deception-technology-honeypot). Цель — показать, какой класс российских решений берёт на себя каждую функцию, которую вы закрывали западной платформой. Перечисленные кандидаты — пример того, где искать такие функции; перед закупкой сверяйте актуальный статус по первоисточникам.

Функция Attivo / TrapX Что это давало Отечественный класс / куда смотреть
Распределённые сетевые ловушки (honeypot) Имитация серверов и сервисов для раннего детекта Российские deception-платформы и honeypot-решения из реестра
Приманки и обманные учётные данные (lures) Подбрасывание ложных кредов на хостах Deception-платформа с агентским/безагентским размещением приманок
Обнаружение латерального перемещения Сигнал о движении атакующего внутри сети Deception + интеграция с NTA/NDR-классом
Интеграция с SIEM и SOC Передача алертов в корреляцию и расследование Отечественные SIEM (как точка интеграции по syslog/API)
Реагирование и изоляция хоста Автоматический отклик на срабатывание Интеграция с отечественным EDR/XDR-классом
Управление парком ловушек Централизованная консоль и развёртывание Управляющая консоль deception-платформы

Чем отечественный deception отличается на практике

Функционально зрелые российские deception-платформы закрывают тот же контур, что Attivo и TrapX: сетевые ловушки, приманки на хостах, обманные учётные данные, детект латерального перемещения и интеграция в SOC. Разница — в деталях, которые и определяют успех замены:

- **Реалистичность ловушек.** Насколько приманки неотличимы от боевых активов и легко ли масштабируются под вашу топологию — от этого зависит и детект, и доля ложных тревог. - **Способ размещения приманок.** Агентский, безагентский или гибридный — влияет на охват парка рабочих станций и нагрузку на эксплуатацию. - **Интеграции с SIEM/EDR/NDR.** Глубина передачи событий и обратного реагирования (изоляция хоста, обогащение инцидента) — частое узкое место при замене. - **Покрытие техник.** Соответствие сценариев ловушек актуальным техникам атак (в т. ч. по БДУ ФСТЭК) — проверяется на пилоте, а не по маркетингу. - **Соответствие регулятору.** Наличие в реестре отечественного ПО и сертификат ФСТЭК под ваш класс задач — входной барьер для КИИ и госсектора.

Зрелость класса российских deception-решений по функциям

Усреднённая редакционная оценка готовности класса по открытым данным. Это не вендорский бенчмарк и не заменяет пилот на вашей инфраструктуре.

Сетевые ловушки (honeypot) 90 /100
90 /100
Обманные учётные данные и приманки 85 /100
85 /100
Обнаружение латерального перемещения 85 /100
85 /100
Интеграция с отечественным SIEM 80 /100
80 /100
Централизованное управление парком 75 /100
75 /100
Автоматическое реагирование (EDR/XDR) 70 /100
70 /100

Что переносить в первую очередь

Сложность миграции (0–100) Ценность для обнаружения (0–100)
Сетевые ловушки Базовый слой детекта, разворачивается первым
Обманные учётные данные Высокий сигнал при кратной отдаче
Интеграция с SIEM Без неё ловушки не доходят до SOC
Латеральное перемещение Связка с NDR/NTA-классом
Автоответ через EDR Ценно, но требует зрелой интеграции

Что проверять при выборе замены

Инвентарь функций Attivo/TrapX выпишите, какие типы ловушек и приманок реально использовались, а не были «в комплекте».
Типы ловушек сетевые сервисы, хостовые приманки, обманные учётные данные, файловые ловушки - сверьте покрытие.
Способ размещения агентский, безагентский или гибридный под ваш парк рабочих станций.
Интеграция с SIEM проверьте передачу событий по syslog/API в ваш отечественный SIEM.
Реагирование через EDR/XDR изоляция хоста и обогащение инцидента при срабатывании.
Покрытие техник соответствие сценариев ловушек актуальным техникам атак, в т. ч. по БДУ ФСТЭК.
Реестр и сертификат ФСТЭК наличие в реестре отечественного ПО и сертификат под ваш класс задач.
Пилот на вашей сети 2–4 недели с реальной топологией до тендера, а не после.
Сравнение вендоров сверьте кандидатов по подтверждённым внедрениям в [рейтинге deception-платформ](/rating/deception-technology-honeypot).

План перехода с Attivo / TrapX: 6 шагов

  1. 01 Инвентаризация

    Зафиксируйте текущую схему deception: типы ловушек, приманки, зоны размещения, интеграции с SIEM/EDR и сценарии реагирования.

  2. 02 Профилирование сети

    Опишите топологию, ключевые сегменты и техники, под которые нужны ловушки, — это вход для подбора решения.

  3. 03 Шорт-лист и пилот

    2–3 отечественных кандидата, развёртывание ловушек на тестовом сегменте, проверка детекта и ложных срабатываний.

  4. 04 Перенос сценариев

    Воссоздайте профили приманок и обманных учётных данных, настройте интеграцию с SIEM и правила корреляции.

  5. 05 Параллельный режим

    Запуск новой платформы рядом с остаточной инфраструктурой, сверка алертов, обкатка реагирования через EDR/XDR.

  6. 06 Переключение и вывод

    Поэтапное расширение ловушек по сегментам, контроль инцидентов, вывод Attivo/TrapX из эксплуатации.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом deception-платформ](/rating/deception-technology-honeypot): здесь — функции, критерии и план перехода, там — сравнение конкретных компаний по подтверждённым фактам.

Следующий шаг

Определились с функциями и критериями — переходите к сравнению поставщиков: **[рейтинг deception-платформ →](/rating/deception-technology-honeypot)**. Полезно прочитать рядом: [что такое deception и honeypot](/research/chto-takoe-deception-honeypot), [рейтинг российских deception-платформ 2026](/research/reyting-rossiyskih-deception-2026) и [как ловушки помогают раньше обнаруживать атаки](/research/lovushki-honeypot-obnaruzhenie-atak).

Частые вопросы

Можно ли продолжать пользоваться Attivo или TrapX в России?

В штатном режиме — нет: поставки, обновления и поддержка свёрнуты, а обходные схемы несут юридические и операционные риски. Для КИИ и госсектора это противоречит требованиям к доверенным средствам защиты, а deception без актуального сопровождения быстро теряет ценность.

Какой отечественный класс решений заменяет deception-платформы Attivo и TrapX?

Класс российских deception-платформ и honeypot-решений: сетевые ловушки, приманки на хостах, обманные учётные данные и детект латерального перемещения. Конкретных вендоров сверяйте в рейтинге deception-платформ и в реестрах Минцифры и ФСТЭК.

На что смотреть в первую очередь при выборе?

На типы ловушек, способ размещения приманок и интеграцию с вашим SIEM/EDR. Для значимых объектов КИИ добавляется входной барьер — наличие в реестре отечественного ПО и сертификат ФСТЭК под ваш класс задач. Остальное проверяется на пилоте.

Сколько занимает переход?

От нескольких недель для одного сегмента до нескольких месяцев для распределённой сети. Критичны пилот и параллельный режим: они убирают риск «слепой зоны» в обнаружении при переключении.

Где сравнить конкретных российских вендоров между собой?

В рейтинге deception-платформ — там компании ранжированы по подтверждённым сигналам, а не по рекламе.

verification

Источники и метод проверки

Attivo Networks (поглощена SentinelOne) и TrapX свернули прямые поставки и поддержку в России, а их платформы deception — распределённые ловушки (honeypot), приманки (lures) и обманные учётные записи — выпали из легального обновления и сопровождения. Эти решения закрывали раннее обнаружение латерального перемещения и кражи учётных данных там, где не срабатывают сигнатурные средства. На рынке есть отечественные deception-платформы, которые перекрывают тот же контур и проходят по требованиям регуляторов. **Если коротко:** заменить Attivo и TrapX в большинстве сценариев уже есть чем. Выбор зависит не от бренда, а от того, какие именно функции вы использовали (типы ловушек, интеграция с SIEM/EDR, автоматизация реагирования), от масштаба сети и требований ФСТЭК. Ниже — что закрывали Attivo и TrapX, какие отечественные классы решений берут эти функции на себя, что проверять и как спланировать переход. Сравнить конкретных поставщиков по подтверждённым сигналам можно в [рейтинге deception-платформ](/rating/deception-technology-honeypot).

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России source Банк данных угроз безопасности информации (БДУ) ФСТЭК России
Рейтинг deception-платформ Сравнить поставщиков по подтверждённым сигналам Что такое Deception Technology и honeypot Рейтинг российских deception-платформ 2026 Как ловушки и honeypot помогают раньше обнаруживать атаки
next step

Сравнить подрядчиков по рейтингу

Исследование помогает сформулировать критерии. Для короткого списка используйте категории рейтинга и карточки компаний.

Рейтинг deception-платформ
NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.