Aktive Verteidigung
Was ist Aktive Verteidigung?
Aktive VerteidigungVerteidigungsstrategie, die ueber passives Monitoring hinausgeht und Angreifer innerhalb der eigenen Netze und Assets konfrontiert, taeuscht und stoert.
Aktive Verteidigung umfasst Techniken, die Kosten und Risiko fuer Angreifer erhoehen, ohne in den illegalen Bereich des Hack-Back zu geraten. Dazu zaehlen Deception (Honeypots, Honeyfiles, Decoy-Accounts), Threat Hunting, In-Network-Engagement, Tarpits, Dokumente mit Beacons und Intelligence-Gain/Loss-Operationen. Das MITRE-Engage-Framework hat die Disziplin formalisiert und das frueheren Shield-Projekt ersetzt; es ordnet Techniken den Kategorien Sammeln, Erkennen, Stoeren, Beruhigen und Motivieren zu. Aktive Verteidigung findet ausschliesslich auf eigenen oder kontrollierten Assets statt. Sie ergaenzt klassische Detection-and-Response, indem sie Angreiferverhalten formt, hochwertige Telemetrie erzeugt und umsetzbare Threat Intelligence liefert.
● Beispiele
- 01
Tarpit, das TCP-Verbindungen eines Scanners minutenlang offen haelt.
- 02
Honeyfile mit Beacon, um Exfiltrationsziele zu identifizieren.
● Häufige Fragen
Was ist Aktive Verteidigung?
Verteidigungsstrategie, die ueber passives Monitoring hinausgeht und Angreifer innerhalb der eigenen Netze und Assets konfrontiert, taeuscht und stoert. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Aktive Verteidigung?
Verteidigungsstrategie, die ueber passives Monitoring hinausgeht und Angreifer innerhalb der eigenen Netze und Assets konfrontiert, taeuscht und stoert.
Wie funktioniert Aktive Verteidigung?
Aktive Verteidigung umfasst Techniken, die Kosten und Risiko fuer Angreifer erhoehen, ohne in den illegalen Bereich des Hack-Back zu geraten. Dazu zaehlen Deception (Honeypots, Honeyfiles, Decoy-Accounts), Threat Hunting, In-Network-Engagement, Tarpits, Dokumente mit Beacons und Intelligence-Gain/Loss-Operationen. Das MITRE-Engage-Framework hat die Disziplin formalisiert und das frueheren Shield-Projekt ersetzt; es ordnet Techniken den Kategorien Sammeln, Erkennen, Stoeren, Beruhigen und Motivieren zu. Aktive Verteidigung findet ausschliesslich auf eigenen oder kontrollierten Assets statt. Sie ergaenzt klassische Detection-and-Response, indem sie Angreiferverhalten formt, hochwertige Telemetrie erzeugt und umsetzbare Threat Intelligence liefert.
Wie schützt man sich gegen Aktive Verteidigung?
Schutzmaßnahmen gegen Aktive Verteidigung kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Aktive Verteidigung?
Übliche alternative Bezeichnungen: Defensive Cyberoperationen, Adversary Engagement.
● Verwandte Begriffe
- defense-ops№ 293
Deception-Technologie
Defensiver Ansatz, der Koeder, Breadcrumbs und gefaelschte Assets im gesamten Umfeld verteilt, um Angreifer mit hoher Praezision zu erkennen, in die Irre zu fuehren und zu beobachten.
- network-security№ 485
Honeypot
Ein bewusst exponiertes Köder-System oder -Dienst, das Angreifer anlocken, ihre Techniken aufzeichnen und sie von produktiven Assets fernhalten soll.
- defense-ops№ 483
Honeyfile
Eine Koederdatei im Speicher, die einen Alarm auslost, sobald ein Angreifer oder Innentaeter sie liest, kopiert oder exfiltriert.
- defense-ops№ 1147
Threat Hunting
Proaktive, hypothesengetriebene Suche in der Telemetrie nach Bedrohungen, die bestehenden Detektionen entgangen sind.
- defense-ops№ 456
Hack-Back
Offensive Vergeltungsmassnahme eines privaten Opfers gegen die Infrastruktur eines Angreifers, nach den meisten nationalen Computerstrafgesetzen in der Regel illegal.
- compliance№ 687
MITRE ATT&CK
Global zugängliche, von MITRE gepflegte Wissensdatenbank über Taktiken und Techniken realer Angreifer.
● Siehe auch
- № 482Honey Account