Honeytoken

Specjalnie spreparowana, fałszywa dana (np. konto lub plik), której nikt nie powinien używać. Każde jej użycie jest sygnałem, że doszło do nieautoryzowanego dostępu.

Honeytoken to celowo spreparowana, fałszywa dana — konto, plik, klucz API, rekord w bazie albo link — która nie ma żadnego legalnego zastosowania. Nikt z Twojego zespołu nie powinien jej nigdy dotknąć, bo do niczego nie służy. Dlatego każde jej użycie jest niemal pewnym sygnałem, że ktoś węszy tam, gdzie nie powinien. Honeytoken to w praktyce cyfrowa pułapka na myszy: sam w sobie nic nie robi, ale gdy „zaskoczy”, wiesz, że masz problem.

Jak to działa i do czego służy

Idea jest banalnie prosta, a w tym tkwi jej siła. Umieszczasz token w miejscu, do którego dostęp ma tylko intruz: w kodzie repozytorium, w pliku passwords.xlsx na pulpicie, w zmiennych środowiskowych albo jako „uśpione” konto admina. Token jest tak skonstruowany, że jego użycie generuje zdarzenie — wpis w logach, alert SIEM albo zapytanie do Twojego serwera. Skoro żaden uprawniony proces go nie zna, alarm oznacza realne włamanie, a nie kolejny fałszywy alarm.

Honeytokeny świetnie wykrywają to, co normalna obrona przegapia: ruch boczny (lateral movement) atakującego już w sieci, wyciek bazy danych albo nieuczciwego pracownika. Mają znikomy odsetek false positive — jeśli token „zadzwonił”, to prawie na pewno coś się stało.

Przykład z praktyki

Najpopularniejsze darmowe narzędzie to Canarytokens od Thinkst. Generujesz np. token w formie dokumentu Worda albo unikalnego URL-a, podrzucasz go w wrażliwym katalogu i czekasz. Gdy ktoś otworzy plik lub kliknie link, dostajesz maila z IP i czasem zdarzenia. Podobnie działają fałszywe klucze AWS — wstawiasz spreparowany AWS_ACCESS_KEY_ID do kodu, a każda próba jego użycia ląduje w logach CloudTrail jako natychmiastowy sygnał kompromitacji repozytorium.

Częste błędy i mity

Po pierwsze: honeytoken to nie to samo co honeypot. Honeypot to cały fałszywy system (serwer, usługa), a honeytoken to pojedyncza dana — lekka i łatwa do rozsiania w wielu miejscach. Po drugie: token, o którym wie pół firmy, jest bezużyteczny — przy pierwszym przypadkowym kliknięciu utopisz się w fałszywych alarmach. Po trzecie: sam token nic nie da, jeśli nikt nie monitoruje alertów. Pułapka bez sprawdzania, czy się zatrzasnęła, to tylko dekoracja.

Pojęcia powiązane

Honeypot, honeynet, canary token, deception technology, lateral movement, SIEM, threat detection, indicator of compromise (IoC).