Movimento laterale
Un attaccante già nella vostra LAN effettua scansioni per pivotare. La prima porta che tocca è un'esca — lo rilevate prima che raggiunga un server reale.
Honeypot sovrano · OpenCanary
Rilevate l'attaccante già dentro la vostra rete, prima che raggiunga i vostri asset
Ogni interazione con un'esca è, per definizione, malevola. SYLink distribuisce servizi fittizi (SSH, RDP, SMB, Active Directory, share, API…) sul perimetro, in DMZ e nel cuore della LAN. Anche la minima scansione, la minima autenticazione, la minima lettura di una share fittizia genera un'allerta qualificata — senza rumore, senza falso positivo.
0
falso positivo
per costruzione — ogni interazione è malevola
20+
servizi emulati
SSH, RDP, SMB, FTP, HTTP, MySQL, AD…
< 1 s
allerta in tempo reale
verso SOC + SIEM
On-prem
o cloud sovrano
nulla esce dalla vostra rete
Sei minacce invisibili
Ciò che IDS ed EDR non vedono — un honeypot lo rivela
Gli attacchi moderni passano sotto il radar delle firme. L'honeypot non correla nulla, non assegna alcun punteggio: scatta non appena qualcuno lo sfiora. È il rilevamento più affidabile per questi sei scenari.
Bruteforce di credenziali
Tentativi di autenticazione su un finto SSH, RDP o Active Directory. Catturate le credenziali testate, l'IP sorgente e gli orari di attacco.
Ricognizione interna
nmap, masscan, port scan, enumerazione SMB — tutte azioni invisibili a un IDS classico ma immediatamente rivelate da un honeypot.
Esfiltrazione di dati
Share SMB fittizie chiamate « HR », « Finanza », « Direzione ». Nessun motivo legittimo per accedervi: ogni lettura genera un incidente qualificato.
Insider e supply chain
Collaboratori curiosi, partner che superano il proprio perimetro, fornitori con diritti troppo ampi. L'honeypot rivela il varco, senza sorveglianza di massa.
Sfruttamento 0-day e ransomware
Una famiglia ransomware moderna scansiona la LAN prima di cifrare. L'esca cattura il ceppo, le sue TTP MITRE e i suoi IOC prima della fase distruttiva.
Zone di deployment
Quattro zone, quattro famiglie di attaccanti da intrappolare
Zona 1Esterno
Perimetro Internet
Servizi fittizi esposti al confine (SSH, HTTP, RDP). Cattura scanner automatici, bot di bruteforce, primi vettori di accesso iniziale.
Zona 2Pivot
DMZ
Server applicativo HTTP/SMB fittizio che imita un'app business. Rileva il pivot di un attaccante che ha già compromesso un servizio di confine.
Zona 3Laterale
LAN interna
Esche nel cuore della rete: share SMB, account Active Directory fittizi, finto GitLab interno, endpoint API fittizi. Qui si rileva il movimento laterale.
Zona 4Mirato
Cloud / OT-SCADA
Container e VM decoy in cloud sovrano, moduli industriali (Modbus, S7, BACnet) per i siti OT. Copre attacchi mirati su infrastrutture ibride.
Tre paliers
Scegliete il vostro paliers — Basic, Enterprise o VIP
Una sola piattaforma honeypot, tre profondità di copertura. Cambiate paliers senza ridistribuire, lo storico delle catture resta disponibile, l'integrazione SOC segue automaticamente.
Honeypot Basic
7servizi emulati
Deployment perimetro e DMZ. Per micro-imprese e PMI che vogliono un rilevamento precoce senza sovraccaricare il SOC.
Micro-imprese · PMI in fase iniziale
Honeypot Enterprise
14servizi emulati
Copertura LAN completa, AD fittizio, canary token e correlazione SIEM. Il paliers giusto per un programma cyber strutturato.
PMI / Mid-market · MSP · amministrazioni
Honeypot VIP
20servizi emulati
Honeypot ad alta interazione, moduli OT/SCADA, threat hunting. Per OIV/OSE e ambienti industriali.
Grandi gruppi · OIV / OSE · industria
| Funzionalità | Basic 7 servizi | Enterprise 14 servizi | VIP 20 servizi |
|---|---|---|---|
| Falso SSH (porta 22) | |||
| Falso Telnet / FTP | |||
| Falso HTTP / HTTPS | |||
| Falso RDP (3389) | |||
| Falso SMB / share fittizie | |||
| Rilevamento nmap / masscan | |||
| Allerta SIEM in tempo reale | |||
| Falso MySQL / MSSQL / Redis | — | ||
| Falso Active Directory (Kerberos) | — | ||
| Account admin fittizi monitorati | — | ||
| Canary token (doc, URL, file) | — | ||
| Cattura TTP MITRE ATT&CK | — | ||
| Forensic completo delle sessioni | — | ||
| Quarantena auto via firewall | — | ||
| Moduli OT/SCADA (Modbus, S7, BACnet) | — | — | |
| Falso GitLab / endpoint API interni | — | — | |
| Honeypot ad alta interazione (full OS) | — | — | |
| Correlazione CTI 12M+ IOC | — | — | |
| Threat hunting assistito da analista | — | — | |
| Reporting per il comitato esecutivo trimestrale | — | — |
Casi d'uso
Sei scenari ricorrenti che un honeypot rileva prima dell'incidente
Ransomware in fase di ricognizione
Un ceppo moderno scansiona la LAN prima di cifrare. L'honeypot risponde, cattura il binario e gli IOC — contenimento prima della fase distruttiva.
Account « amministratore » fittizio
Un account AD chiamato « adm-domain » senza alcun uso legittimo. Qualsiasi tentativo di autenticazione = incidente qualificato, sorgente identificata in pochi secondi.
Insider che supera il proprio perimetro
Share SMB « Direzione » accessibile ma monitorata. Un collaboratore che la apre genera un'allerta conforme alle pratiche HR — prova forensic con timestamp.
Supply chain compromessa
Un fornitore le cui credenziali sono trapelate tenta di accedere al vostro finto GitLab interno. Tagliate l'accesso e allertate il partner prima dell'esfiltrazione reale.
Bruteforce RDP automatizzato
Bot che testano admin/password su un finto RDP esposto: catturate le liste di credenziali utilizzate, le arricchite in CTI e indurite i vostri servizi reali.
Rilevamento 0-day tramite TTP
Un attaccante sconosciuto utilizza la tecnica MITRE T1021 (lateral movement). L'esca cattura la sequenza: identificate il gruppo senza firma preesistente.
Distribuire un honeypot nella vostra rete?
Demo di 30 minuti: installiamo un'esca sul vostro perimetro o in LAN — vedete in diretta cosa vi si connette. Senza impegno, entro 48 h.