Honeypot je bezpečnostní prostředek (počítač, data nebo síťová služba), který je záměrně nastaven tak, aby vypadal zranitelně a lákal útočníky. Protože tento systém nemá žádný legitimní účel ani skutečné uživatele, jakákoliv aktivita na něm je automaticky považována za podezřelou nebo útočnou.

Honeypoty slouží především k detekci útoků, odvedení pozornosti od skutečných serverů a ke studiu metod, které hackeři používají.

Honeypoty se dělí podle toho, kolik volnosti útočníkovi poskytnou:

1. Low-interaction (Nízká interakce): Simuluje pouze základní služby (např. webový server nebo SSH port). Útočník nemůže ovládnout operační systém, ale správce získá informaci o pokusu o připojení a použitých heslech.
2. High-interaction (Vysoká interakce): Skutečný operační systém s reálnými službami. Útočník se může v systému pohybovat, instalovat software a provádět příkazy. Poskytuje nejvíce informací o postupech útočníka, ale je rizikovější na správu (útočník by se mohl pokusit napadnout zbytek sítě).

Slouží k ochraně konkrétní firemní sítě. Jejím cílem je:

• Odlákat útočníka od skutečných databází.
• Zpomalit útočníka (marní čas na falešném cíli).
• Poskytnout včasné varování (pokud někdo „sáhne“ na honeypot, v síti je útočník).

Používají je bezpečnostní experti a vládní agentury ke studiu nových hrozeb a trendů. Získávají data o tzv. Zero-day útocích a o tom, jaké nástroje hackeři aktuálně vyvíjejí.

• Honeynet: Celá síť složená z honeypotů. Simuluje komplexní podnikovou infrastrukturu.
• Honeytoken: Falešný soubor, záznam v databázi nebo e-mailová adresa. Pokud někdo soubor otevře nebo na adresu pošle e-mail, systém vygeneruje poplach.
• Honeycred: Falešné přihlašovací údaje (hesla) uložené v paměti nebo v souborech, které útočník často hledá.

Zajímavost: Honeypoty jsou často součástí tzv. Deception Technology, která v celé síti rozmisťuje tisíce drobných pastí (kreditní údaje, konfigurační soubory), aby útočník při jakémkoliv kroku stranou okamžitě odhalil svou přítomnost.

— Viz také: IDS/IPS, SIEM, SOC, Zero-day útok