Ханифайл
Что такое Ханифайл?
ХанифайлФайл-приманка в хранилище, который запускает оповещение при чтении, копировании или эксфильтрации злоумышленником или инсайдером.
Ханифайл (honeyfile) — это поддельный, но правдоподобный документ, например passwords.xlsx, contracts-2026.docx или aws-keys.txt, размещённый в каталогах, куда вероятнее всего заглянет любопытный злоумышленник или недобросовестный сотрудник. Сам файл не содержит реальных данных, но снабжён датчиками, поэтому любое обращение к нему мгновенно генерирует точное оповещение. Ханифайлы дёшевы, дают очень мало ложных срабатываний и эффективны для обнаружения латерального движения, разведки шифровальщиков и кражи данных. Их разворачивают на файловых ресурсах, рабочих станциях и в облачных хранилищах вместе с EDR и DLP в рамках общей стратегии обмана.
● Примеры
- 01
Фальшивый passwords.xlsx на общем диске, который уведомляет SOC при открытии.
- 02
Канареечный файл с AWS-ключами, срабатывающий при первом использовании в IAM API.
● Частые вопросы
Что такое Ханифайл?
Файл-приманка в хранилище, который запускает оповещение при чтении, копировании или эксфильтрации злоумышленником или инсайдером. Относится к категории Защита и операции в кибербезопасности.
Что означает Ханифайл?
Файл-приманка в хранилище, который запускает оповещение при чтении, копировании или эксфильтрации злоумышленником или инсайдером.
Как работает Ханифайл?
Ханифайл (honeyfile) — это поддельный, но правдоподобный документ, например passwords.xlsx, contracts-2026.docx или aws-keys.txt, размещённый в каталогах, куда вероятнее всего заглянет любопытный злоумышленник или недобросовестный сотрудник. Сам файл не содержит реальных данных, но снабжён датчиками, поэтому любое обращение к нему мгновенно генерирует точное оповещение. Ханифайлы дёшевы, дают очень мало ложных срабатываний и эффективны для обнаружения латерального движения, разведки шифровальщиков и кражи данных. Их разворачивают на файловых ресурсах, рабочих станциях и в облачных хранилищах вместе с EDR и DLP в рамках общей стратегии обмана.
Как защититься от Ханифайл?
Защита от Ханифайл обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Ханифайл?
Распространённые альтернативные названия: Файл-приманка, Канареечный файл.
● Связанные термины
- defense-ops№ 293
Технологии обмана (Deception)
Подход к защите, при котором по сети, конечным точкам, AD и облаку размещают приманки, хлебные крошки и поддельные ресурсы для точного обнаружения, дезориентации и изучения атакующих.
- defense-ops№ 487
Хани-юзер (Honeyuser)
Поддельная учётная личность в каталоге и HR-системе: любая попытка входа или перечисления сразу выдаёт злоумышленника.
- defense-ops№ 482
Хани-аккаунт (Honey Account)
Приманка на уровне учётной записи или секрета, часто без полноценной личности, которая вызывает оповещение при попытке аутентификации.
- network-security№ 486
Ханитокен
Поддельные данные — учётные данные, файл, запись или API-ключ — у которых нет легитимного применения и обращение к которым сразу вызывает оповещение.
- network-security№ 485
Ханипот
Имитирующая реальную систему или сервис приманка, намеренно выставленная наружу для привлечения атакующих, изучения их методов и отвлечения от продуктивных активов.
- defense-ops№ 012
Активная защита
Стратегия защиты, выходящая за рамки пассивного мониторинга и предполагающая взаимодействие, дезинформацию и срыв действий противника в пределах собственных ресурсов.