Sinkholing er en videreutvikling av honeypot teknologi og verktøy som LaBrea Tarpit. Det fungerer ved å ta kontroll over et botnet kommando-og-kontroll-infrastruktur (C &C) eller andre malware kommunikasjon, og ved hjelp av denne kommunikasjonen til å samle data om hvordan malware fungerer, deaktiverer botnet - og potensielt enda deaktiverer malware på kompromitterte endepunkter.

Sinkholing kan inkludere identifisere ekstern kommando-og-kontroll-server og ta kontroll over den via en sikkerhet utnytte, som vanligvis krever noen form for forutgående rettslig godkjenning. Logger og tilkoblinger kan bli analysert for å fastslå kompromitterte systemer, hvis og hva slags data ble stjålet, og funksjonaliteten til C & C infrastruktur. Dette kan gjøres for interne verter eller potensielt for eksterne verter som kan tenkes å bruke nettverket eller DNS.

Sinkholing kan bidra til å øke bedriftens forsvar ved å forbedre deteksjon av kompromitterte endepunkter. Den forbedrede påvisning vil bidra til å redusere tiden det tar for en bedrift å svare på en hendelse og identifisere påvirkningen fra hendelsen. Dette påvisning kan være fra utenfor bedriften, og kan tillate deg å dra nytte av arbeidet til andre organisasjoner for å identifisere indikatorer på kompromiss. Denne forbedrede oppdagelse kan også legges til en generell trussel intelligens verktøy - som for eksempel Cisco Advanced Malware Protection, FireEye Threat Intelligence eller Threat Connect - som deretter brukes til å mate intelligens til andre sikkerhetsverktøy i bruk