АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

Honeytoken

Honeytoken — фиктивные записи или данные, добавляемые в реальные базы данных для выявления и отслеживания случаев несанкционированного использования или утечки информации. Такая технология позволяет администраторам отслеживать перемещение информации в тех случаях, когда это было бы невозможно обычными средствами, например, при работе с облачными сетями[1]. Если данные были похищены, honeytoken позволяют установить источник утечки или определённого злоумышленника. Например, если хранятся медицинские данные в трёх местах, в каждую базу могут быть добавлены свои уникальные фиктивные медицинские записи — разные honeytoken окажутся в каждом наборе[2].

Характерной особенностью honeytoken выступает их применение как компонента систем обнаружения вторжений. Такие средства могут срабатывать на подозрительную активность во внутренней сети и уведомлять администратора о проблемах, которые иначе остались бы незамеченными. В отличие от межсетевых экранов, защищающих только периметр сети от внешних угроз, honeytoken направлены на выявление внутренних атак, которые уже миновали границу сети[3]. Помимо обнаружения, внедрение honeytoken иногда позволяет реализовывать реактивные процедуры безопасности — например, автоматически отклонять все пакеты с «медовой меткой» на маршрутизаторе. Однако подобные меры могут приводить к сложностям: если honeytoken выбран неудачно и встречается в обычном трафике, могут возникнуть сбои и потери легитимной информации.

В рамках информационной безопасности термин honeytoken означает разновидность ловушек, не являющихся отдельными компьютерными системами. Их ценность заключается не в использовании, а во злоупотреблении ими: это обобщение концепций honeypot и «canary value» — специальных значений, применяемых, например, для защиты от атак на стек. Применение honeytoken не всегда предотвращает несанкционированное вмешательство в данные, но даёт дополнительную уверенность в сохранности и целостности информации для администратора.

Термин был впервые предложен Аугусту Паэс де Барросом в 2003 году[4][5].

Применение

Honeytoken могут реализовываться в различных формах: от неактивных фиктивных учётных записей до записей в базе, которые могут быть выбраны только при специфических подозрительных запросах — тем самым технология подходит для обеспечения целостности данных. Часто встречающийся вариант — фиктивный электронный адрес, добавленный для отслеживания фактов кражи почтовых рассылок[6][7].

Примечания