Infisical蜜令:诱饵凭证捕获泄露风险

infisical 发布于 2026-05-07 阅读 233

Infisical推出蜜令(Honey Tokens)功能,通过在项目中部署具有零权限的AWS IAM访问密钥对作为诱饵凭证。当攻击者试图使用该密钥时,AWS CloudTrail会记录日志并触发实时警报,帮助团队在凭证泄露后迅速响应。文章详细说明了工作原理、配置步骤(包括部署CloudFormation堆栈)、以及相比其他方案更难被检测的优势(通过用户自有AWS账户生成,避免可识别的账户ID)。该功能目前面向Pro和企业版用户开放。

Infisical 蜜标:诱饵凭证,捕获数据泄露

发布于 2026年5月6日,星期三

博客图片

2025年3月,Rippling 披露了人事科技领域一起据说最具戏剧性的企业间谍案。一名 Rippling 员工每天在 Slack 上搜索竞争对手 Deel 平均 23 次,这让人怀疑他(讽刺的是)可能正为 Deel 工作。

于是 Rippling 的安全团队创建了一个名为 #d-defectors 的空 Slack 频道。Rippling 向 Deel 高层透露,该频道包含他们不愿公开的不利信息。几小时内,那名间谍就搜索了这个频道。陷阱成功了。

#d-defectors 频道是一个蜜罐:它看起来像是攻击者想要的东西,但实际上是一个用于检测安全入侵的陷阱。Rippling 使用了 Slack 频道,但同样的原理适用于攻击者可能想要的任何东西。在大多数数据泄露事件中,这个“东西”就是凭证。

植入真实凭证中的假凭证就是蜜标。当蜜标被使用时,你就知道发生了数据泄露。这需要一个攻击者无法抗拒且能从中获得巨大好处的凭证,比如 AWS IAM Token。

正因如此,今天我们正式推出 Infisical 蜜标。这是在你已经保护了机密的基础上,额外增加的一层安全防护。可以把它想象成安装了一个动作感应报警器,即使门上已经装了不错的锁。

凭证窃取是当今数据泄露中最常见的模式之一,而 AI 让发现和利用漏洞变得比以往任何时候都更容易。攻击者正在利用 AI 以你无法手动捕捉的速度,将泄露的凭证武器化。难点在于检测,而蜜标正是用来帮助弥补这个差距的。

检测漏洞变得越来越难

无论你拥有多少资源,绝对的安全都不存在。企业拥有过多的凭证、环境、保险库和团队,难以监控每一个细节;而初创公司通常又缺乏专门的团队来做这件事。

数据泄露后,泄露的凭证往往要等上数周或数月才会被轮换。但攻击者可不会等那么久才加以利用。很难摆脱那种“某个地方出了问题”的恐惧感。

蜜标在后台悄然运作,一旦被触发,就会实时发出警报。这消除了猜测,让你可以直接进入响应阶段:例如,轮换被泄露的机密,并在攻击者行动之前限制爆炸半径。

蜜标如何帮助你更快响应

在 Infisical 中,蜜标是一个 AWS IAM 访问密钥对(真实存在,但没有任何权限)。你在 Infisical 中创建它,然后将其放入与真实凭证相同的文件夹中。尝试调用 sts:GetCallerIdentity(或 IAM 凭证可以执行的任何其他操作,例如列出 S3 存储桶或检查参数存储中的机密)会生成一个 CloudTrail 日志,该日志会回传到 Infisical 并触发警报。

Infisical 随后会向你发送一封电子邮件(即将支持 Slack 和 PagerDuty 警报),告知你相邻的凭证很可能也已被入侵,建议你轮换凭证。合法的工作负载绝不会触碰蜜标,因此你不应看到误报。

蜜标之所以有效,是因为简单的心理因素:AWS IAM 凭证对攻击者来说太过诱人,难以忽视。我们从这里开始,是因为 AWS IAM 是最诱人的诱饵,也是最可靠的陷阱。AWS 会记录针对密钥的每一次请求,无论是否授权,因此任何使用该Token的尝试都会立即被发现。其他类型的蜜标已在路线图中。

Infisical 蜜标的工作原理

蜜标存在于项目和文件夹中,与你的实际凭证在一起。整个过程分为两步。我们在这里简要说明,但你可以在我们的文档中获取完整详情

蜜标 GIF

配置蜜标基础设施

首先,你需要在组织级别启用蜜标。在组织设置的“产品设置”下,选择一个 AWS App Connection 并保存。Infisical 随后会显示一条 AWS CLI 命令。在终端中使用目标 AWS 账户的凭证运行该命令,以部署 CloudFormation 堆栈。一旦 AWS 配置好基础设施,点击“验证连接”以确认设置已激活。

一旦 AWS 配置好基础设施,你就能验证连接是否激活: 蜜标 1

在 Infisical 项目中使用蜜标

在运行 AWS CLI CloudFormation 命令以在 AWS 账户中启动所需的蜜标基础设施后,你就可以开始使用蜜标了。只需在 Infisical 的环境中添加一个蜜标即可。

蜜标 2 名称、描述、环境以及两个密钥名称等详细信息均可自定义。

此时,蜜标会等待恶意行为者触发它,并显示一个绿色的“活跃”标签。如果被使用,徽章将变为红色并显示“已触发”,所有组织管理员将收到一封电子邮件。如果发生这种情况,我们建议轮换爆炸半径内的所有内容。蜜标确认了最坏的情况。所有与它相邻的内容都应视为已暴露。

为什么 Infisical 的蜜标更难被发现

其他蜜标产品更容易被黑客发现,因为它们是在供应商控制的基础设施上创建的蜜标。这通过避免部署或 CLI 交互来减少设置摩擦。

但是,AWS 访问密钥嵌入了签发账户 ID,攻击者可以在离线状态下提取该 ID,而无需使用密钥进行身份验证。这意味着,一旦安全供应商的账户 ID 为人所知,攻击者就能识别出蜜标,这大大削弱了蜜标的威力,并可能造成安全假象(尽管蜜标未被触发并不能保证安全)。

我们有意识地增加了一点额外的摩擦,通过在你的 AWS 账户(你所有其他机密也存放在此)中创建蜜标,使其与真实凭证难以区分。

试用一下

蜜标现已适用于 Infisical Pro 和 Enterprise 版本。该功能已在云部署和自托管部署中推出。在此阅读蜜标文档

如果你是安全团队的一员,并且一直希望能有一个真正可以信赖的检测信号,不妨试试蜜标。

如果你的组织正在评估大规模凭证安全,并且希望深入了解企业级检测是什么样的,请联系我们,我们将为你详细讲解

Daniel Hougaard 头像

Daniel Hougaard

创始工程师

LinkedIn

  • 原文链接: infisical.com/blog/infis...
  • 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~

相关文章

0 条评论