蜜罐文件
蜜罐文件 是什么?
蜜罐文件放置在存储中的诱饵文档,一旦攻击者或内部人员读取、复制或外泄,即可触发告警。
蜜罐文件(honeyfile)是一种看似合理的伪造文档,例如 passwords.xlsx、contracts-2026.docx 或 aws-keys.txt,被放置在好奇的攻击者或恶意内部人员可能浏览的目录中。文件本身没有实际价值,但经过埋点,任何访问都会立即触发高保真告警。蜜罐文件成本低、误报少,能有效检测横向移动、勒索软件的侦察阶段以及数据窃取行为。它们通常部署在文件共享、终端和云存储桶中,与 EDR 和 DLP 工具协同,构成更广泛的欺骗防御策略的一部分。
● 示例
- 01
共享盘中一个伪造的 passwords.xlsx,被打开时立即通知 SOC。
- 02
一份金丝雀 AWS 凭据文件,一旦在 IAM API 中被使用即触发告警。
● 常见问题
蜜罐文件 是什么?
放置在存储中的诱饵文档,一旦攻击者或内部人员读取、复制或外泄,即可触发告警。 它属于网络安全的 防御与运营 分类。
蜜罐文件 是什么意思?
放置在存储中的诱饵文档,一旦攻击者或内部人员读取、复制或外泄,即可触发告警。
蜜罐文件 是如何工作的?
蜜罐文件(honeyfile)是一种看似合理的伪造文档,例如 passwords.xlsx、contracts-2026.docx 或 aws-keys.txt,被放置在好奇的攻击者或恶意内部人员可能浏览的目录中。文件本身没有实际价值,但经过埋点,任何访问都会立即触发高保真告警。蜜罐文件成本低、误报少,能有效检测横向移动、勒索软件的侦察阶段以及数据窃取行为。它们通常部署在文件共享、终端和云存储桶中,与 EDR 和 DLP 工具协同,构成更广泛的欺骗防御策略的一部分。
如何防御 蜜罐文件?
针对 蜜罐文件 的防御通常结合技术控制与运营实践,详见上方完整定义。
蜜罐文件 还有哪些其他名称?
常见的别称包括: 诱饵文件, 金丝雀文件。
● 相关术语
- defense-ops№ 293
欺骗防御技术
一种防御方法,在网络、终端、AD 和云中部署诱饵、面包屑和伪造资产,以高保真方式检测、误导并研究攻击者。
- defense-ops№ 487
蜜罐用户(Honeyuser)
在目录服务和人力资源系统中预先配置的虚假身份,任何登录尝试或枚举行为都会立即暴露攻击者。
- defense-ops№ 482
蜜罐账号(Honey Account)
以凭据为核心的诱饵账号(通常不构建完整的人物身份),一旦被攻击者尝试使用就触发告警。
- network-security№ 486
蜜标
嵌入真实系统中的虚假数据(凭据、文件、记录或 API 密钥),没有合法用途,一旦被访问即触发告警。
- network-security№ 485
蜜罐
故意暴露的诱饵系统或服务,用于吸引攻击者、观察其技战术并将其引离生产资产。
- defense-ops№ 012
主动防御
一种超越被动监控的防御策略,在防御者自己的网络和资产范围内主动与对手交锋、误导并干扰其行动。