การเคลื่อนไหวด้านข้าง
ผู้โจมตีที่อยู่ใน LAN ของคุณแล้ว scan เพื่อ pivot. พอร์ตแรกที่เขาสัมผัสเป็นเหยื่อล่อ — คุณตรวจจับเขาก่อนที่เขาจะถึงเซิร์ฟเวอร์จริง.
Honeypot อธิปไตย · OpenCanary
ตรวจจับผู้โจมตี ที่อยู่ในเครือข่ายของคุณแล้ว, ก่อนที่จะถึงสินทรัพย์ของคุณ
การโต้ตอบใดๆ กับเหยื่อล่อ ตามนิยามแล้วถือว่ามุ่งร้าย. SYLink ติดตั้งบริการปลอม (SSH, RDP, SMB, Active Directory, share, API…) บริเวณรอบนอก, ใน DMZ และในใจกลางของ LAN. การ scan แม้เล็กน้อย, การ authenticate แม้น้อยที่สุด, การอ่าน share ปลอมแม้น้อยที่สุด กระตุ้นการแจ้งเตือนคุณภาพ — ไม่มีเสียงรบกวน, ไม่มี false positive.
0
false positive
โดยการสร้าง — การโต้ตอบใดๆ มุ่งร้าย
20+
บริการจำลอง
SSH, RDP, SMB, FTP, HTTP, MySQL, AD…
< 1 s
การแจ้งเตือนแบบเรียลไทม์
ไปยัง SOC + SIEM
On-prem
หรือ cloud อธิปไตย
ไม่มีอะไรออกจากเครือข่ายของคุณ
หกภัยคุกคามที่มองไม่เห็น
สิ่งที่ IDS และ EDR ของคุณไม่เห็น — honeypot เปิดเผย
การโจมตีสมัยใหม่ผ่านใต้เรดาร์ของลายเซ็น. Honeypot ไม่เชื่อมโยงอะไร, ไม่ให้คะแนนอะไร: มันทำงานทันทีที่มีคนสัมผัส. มันเป็นการตรวจจับที่น่าเชื่อถือที่สุดสำหรับหกสถานการณ์เหล่านี้.
Bruteforce credentials
ความพยายาม authentication บน SSH, RDP หรือ Active Directory ปลอม. คุณจับ credentials ที่ทดสอบ, IP source และเวลาโจมตี.
Reconnaissance ภายใน
nmap, masscan, port scan, การสำรวจ SMB — การกระทำที่มองไม่เห็นใน IDS ดั้งเดิม แต่เปิดเผยทันทีต่อ honeypot.
การถ่ายโอนข้อมูลออก
Share SMB ปลอมชื่อ « HR », « บัญชี », « Direction ». ไม่มีเหตุผลที่ถูกต้องในการเข้าถึง: การอ่านใดๆ กระตุ้นเหตุการณ์คุณภาพ.
Insider และ supply chain
พนักงานที่อยากรู้, พันธมิตรที่เกินขอบเขต, ผู้ให้บริการที่มีสิทธิ์มากเกินไป. Honeypot เปิดเผยการข้าม, โดยไม่ต้องเฝ้าระวังจำนวนมาก.
การใช้ประโยชน์ 0-day และ ransomware
ตระกูล ransomware สมัยใหม่ scan LAN ก่อนเข้ารหัส. เหยื่อล่อจับสาย, TTPs MITRE และ IOCs ก่อนช่วงทำลาย.
โซนการติดตั้ง
สี่โซน, สี่กลุ่มผู้โจมตีที่จะดักจับ
โซน 1ภายนอก
รอบนอก Internet
บริการปลอมที่เปิดเผยที่ชายแดน (SSH, HTTP, RDP). จับ scanner อัตโนมัติ, bot bruteforce, เวกเตอร์การเข้าถึงเริ่มต้น.
โซน 2Pivot
DMZ
เซิร์ฟเวอร์แอปพลิเคชัน HTTP/SMB ปลอมที่เลียนแบบ app ธุรกิจ. ตรวจจับ pivot ของผู้โจมตีที่บุกรุกบริการขอบเขตแล้ว.
โซน 3ด้านข้าง
LAN ภายใน
เหยื่อล่อในใจกลางของเครือข่าย: share SMB, บัญชี Active Directory ปลอม, GitLab ภายในปลอม, endpoint API ปลอม. ที่นี่คือที่ที่ตรวจจับการเคลื่อนไหวด้านข้าง.
โซน 4เล็ง
Cloud / OT-SCADA
Container และ VM decoy ใน cloud อธิปไตย, โมดูลอุตสาหกรรม (Modbus, S7, BACnet) สำหรับไซต์ OT. ครอบคลุมการโจมตีที่เล็งบนโครงสร้างพื้นฐานไฮบริด.
สามระดับ
เลือกระดับของคุณ — Basic, Enterprise หรือ VIP
แพลตฟอร์ม honeypot หนึ่งเดียว, สามความลึกของความครอบคลุม. เปลี่ยนระดับโดยไม่ต้อง redeploy, ประวัติการจับยังคงพร้อมใช้งาน, การผสาน SOC ตามโดยอัตโนมัติ.
Honeypot Basic
7บริการจำลอง
การติดตั้งรอบนอกและ DMZ. สำหรับ TPE/PME ที่ต้องการการตรวจจับระยะเริ่มต้นโดยไม่โหลด SOC.
TPE · PME เริ่มต้น
Honeypot Enterprise
14บริการจำลอง
ความครอบคลุม LAN ครบถ้วน, AD ปลอม, canary tokens และการเชื่อมโยง SIEM. ระดับที่ถูกต้องสำหรับโปรแกรมไซเบอร์ที่มีโครงสร้าง.
PME / ETI · MSP · หน่วยงานรัฐ
Honeypot VIP
20บริการจำลอง
Honeypot interaction สูง, โมดูล OT/SCADA, threat hunting. สำหรับ OIV/OSE และสภาพแวดล้อมอุตสาหกรรม.
บริษัทใหญ่ · OIV / OSE · อุตสาหกรรม
| ฟังก์ชัน | Basic 7 บริการ | Enterprise 14 บริการ | VIP 20 บริการ |
|---|---|---|---|
| SSH ปลอม (พอร์ต 22) | |||
| Telnet / FTP ปลอม | |||
| HTTP / HTTPS ปลอม | |||
| RDP ปลอม (3389) | |||
| SMB ปลอม / share ปลอม | |||
| ตรวจจับ nmap / masscan | |||
| การแจ้งเตือน SIEM แบบเรียลไทม์ | |||
| MySQL / MSSQL / Redis ปลอม | — | ||
| Active Directory ปลอม (Kerberos) | — | ||
| บัญชี admin ปลอมที่เฝ้าระวัง | — | ||
| Canary tokens (doc, URL, ไฟล์) | — | ||
| จับ TTPs MITRE ATT&CK | — | ||
| Forensic ครบถ้วนของ session | — | ||
| Quarantine อัตโนมัติผ่าน firewall | — | ||
| โมดูล OT/SCADA (Modbus, S7, BACnet) | — | — | |
| GitLab ปลอม / endpoint API ภายใน | — | — | |
| Honeypot interaction สูง (full OS) | — | — | |
| เชื่อมโยง CTI 12M+ IOCs | — | — | |
| Threat hunting ช่วยโดยนักวิเคราะห์ | — | — | |
| Reporting COMEX รายไตรมาส | — | — |
กรณีใช้งาน
หกสถานการณ์ซ้ำที่ honeypot ตรวจจับก่อนเหตุการณ์
Ransomware ในระยะ reconnaissance
สายสมัยใหม่ scan LAN ก่อนเข้ารหัส. Honeypot ตอบสนอง, จับ binary และ IOCs — การจำกัดวงก่อนช่วงทำลาย.
บัญชี « administrator » ปลอม
บัญชี AD ชื่อ « adm-domain » โดยไม่มีการใช้งานที่ถูกต้อง. ความพยายาม authentication ใดๆ = เหตุการณ์คุณภาพ, ระบุแหล่งที่มาในไม่กี่วินาที.
Insider ที่เกินขอบเขต
Share SMB « Direction » เข้าถึงได้แต่เฝ้าระวัง. พนักงานที่เปิดมันกระตุ้นการแจ้งเตือนที่สอดคล้อง HR — หลักฐาน forensic ที่ประทับเวลา.
Supply chain ถูกบุกรุก
ผู้ให้บริการที่ credentials รั่วพยายามเข้าถึง GitLab ภายในปลอมของคุณ. คุณตัดการเข้าถึงและแจ้งพันธมิตรก่อนการถ่ายโอนข้อมูลออกจริง.
Bruteforce RDP อัตโนมัติ
Bot ที่ทดสอบ admin/password บน RDP ปลอมที่เปิดเผย: คุณกู้คืนรายการ credentials ที่ใช้, เสริมใน CTI และทำให้บริการจริงแข็งแกร่ง.
ตรวจจับ 0-day โดย TTPs
ผู้โจมตีที่ไม่รู้จักใช้เทคนิค MITRE T1021 (lateral movement). เหยื่อล่อจับลำดับ: คุณระบุกลุ่มโดยไม่มีลายเซ็นล่วงหน้า.
ติดตั้ง honeypot ในเครือข่ายของคุณ?
เดโม 30 นาที: เราติดตั้งเหยื่อล่อบนรอบนอกหรือใน LAN ของคุณ — คุณจะเห็นสดๆ ว่าอะไรเชื่อมต่อ. ไม่มีข้อผูกพัน, ภายใน 48 ชม.