蜜罐账号(Honey Account)
蜜罐账号(Honey Account) 是什么?
蜜罐账号(Honey Account)以凭据为核心的诱饵账号(通常不构建完整的人物身份),一旦被攻击者尝试使用就触发告警。
蜜罐账号(honey account)是一种以凭据为核心的诱饵,例如用户名/密码对、API 密钥、服务账户或 SaaS 用户,被刻意放置在攻击者常翻找的位置:脚本、配置文件、密码保险库、代码仓库或粘贴站点。该凭据处于监控之下,任何认证尝试都意味着已经被入侵。蜜罐账号与蜜罐用户的侧重点不同:蜜罐用户着重构造可信的人物档案(HR 记录、邮箱、组关系)以发现枚举和横向移动,而蜜罐账号专注于发现已泄露或被盗凭据的使用。两者都属于 honeytoken 的范畴,在成熟的欺骗防御计划中常常并用。
● 示例
- 01
在公开 GitHub gist 中放置的 AWS 访问密钥,第一次被使用时即告警。
- 02
在密码管理器中存放伪造的 Okta 管理员登录,用以发现凭据失窃。
● 常见问题
蜜罐账号(Honey Account) 是什么?
以凭据为核心的诱饵账号(通常不构建完整的人物身份),一旦被攻击者尝试使用就触发告警。 它属于网络安全的 防御与运营 分类。
蜜罐账号(Honey Account) 是什么意思?
以凭据为核心的诱饵账号(通常不构建完整的人物身份),一旦被攻击者尝试使用就触发告警。
蜜罐账号(Honey Account) 是如何工作的?
蜜罐账号(honey account)是一种以凭据为核心的诱饵,例如用户名/密码对、API 密钥、服务账户或 SaaS 用户,被刻意放置在攻击者常翻找的位置:脚本、配置文件、密码保险库、代码仓库或粘贴站点。该凭据处于监控之下,任何认证尝试都意味着已经被入侵。蜜罐账号与蜜罐用户的侧重点不同:蜜罐用户着重构造可信的人物档案(HR 记录、邮箱、组关系)以发现枚举和横向移动,而蜜罐账号专注于发现已泄露或被盗凭据的使用。两者都属于 honeytoken 的范畴,在成熟的欺骗防御计划中常常并用。
如何防御 蜜罐账号(Honey Account)?
针对 蜜罐账号(Honey Account) 的防御通常结合技术控制与运营实践,详见上方完整定义。
蜜罐账号(Honey Account) 还有哪些其他名称?
常见的别称包括: 诱饵凭据, 蜜凭据。
● 相关术语
- defense-ops№ 487
蜜罐用户(Honeyuser)
在目录服务和人力资源系统中预先配置的虚假身份,任何登录尝试或枚举行为都会立即暴露攻击者。
- network-security№ 486
蜜标
嵌入真实系统中的虚假数据(凭据、文件、记录或 API 密钥),没有合法用途,一旦被访问即触发告警。
- defense-ops№ 293
欺骗防御技术
一种防御方法,在网络、终端、AD 和云中部署诱饵、面包屑和伪造资产,以高保真方式检测、误导并研究攻击者。
- attacks№ 232
撞库攻击
利用某一服务泄露的大量用户名/密码组合,在其他服务上自动重放登录,利用用户密码复用接管账户的攻击。
- defense-ops№ 012
主动防御
一种超越被动监控的防御策略,在防御者自己的网络和资产范围内主动与对手交锋、误导并干扰其行动。
● 参见
- № 483蜜罐文件