Se sono già nella tua rete, l'aggiunta di un honeypot potrebbe non essere efficace - non sai cosa già sanno della tua rete.
- Conoscono le gamme IP per risorse umane, finanza, sistemi di archiviazione dati, ecc.?
- Hanno accesso al tuo sistema di gestione delle modifiche e individueranno una nuova aggiunta alla rete?
- Hanno già messo in backdoor i server con i dati che vogliono?
- Hanno già le informazioni di cui hanno bisogno?
In questa fase, se i dati sono importanti, potresti trovare più utile modificare l'accesso e rimuoverli dalla rete, piuttosto che cercare di rintracciarli.
In alternativa, se sai dove sono questi dati importanti, non hai bisogno di un honeypot: ciò di cui hai bisogno è di monitorare da vicino tutte le attività e vedere se vengono effettuate connessioni insolite.
Che cosa ha ispirato i tuoi sospetti? Se vedesse qualcosa di strano nei tuoi log di rete, sarebbe un buon punto di partenza.
Generalmente, gli honeypot sono utili prima di un'intrusione, poiché interrompono o rallentano un intruso prima che raggiungano i tuoi dati, offrendoti la possibilità di identificarli o bloccarli.