Defense active
Qu'est-ce que Defense active ?
Defense activeStrategie defensive qui va au-dela de la surveillance passive pour engager, egarer et perturber les adversaires a l'interieur des propres actifs du defenseur.
La defense active regroupe des techniques qui augmentent le cout et le risque pour les attaquants sans franchir la frontiere illegale du hack-back. Elle inclut la tromperie (honeypots, honeyfiles, comptes leurres), le threat hunting, l'engagement reseau, les tarpits, les documents balises et les operations de gain/perte de renseignement. Le cadre MITRE Engage, qui remplace l'ancien projet Shield, formalise la discipline et regroupe les techniques en collection, detection, perturbation, rassurement et motivation. La defense active s'execute uniquement sur des actifs possedes ou controles par le defenseur. Elle complete la detection et la reponse classiques en modelant le comportement adverse, en generant une telemetrie de qualite et en produisant du renseignement exploitable.
Une maniere utile de cadrer la discipline est le spectre « nuisance, attribution et attaque » (annoyance, attribution, and attack) popularise par l'Active Defense Harbinger Distribution (ADHD) associee au SANS : seules les deux premieres sont licites pour la plupart des organisations, tandis que l'« attaque » — pirater l'infrastructure de l'adversaire lui-meme — viole generalement le Computer Fraud and Abuse Act (CFAA) americain et les lois equivalentes a l'etranger. Parmi les outils pratiques et defendables figurent les jetons canari (Thinkst Canarytokens), les tarpits SSH comme Endlessh, l'historique tarpit LaBrea et les identifiants leurres places dans LSASS ou le navigateur pour piéger les outils de vol d'identifiants. Chacun declenche une alerte a haute fidelite, car un utilisateur legitime n'a aucune raison d'y toucher, ce qui reduit drastiquement les faux positifs par rapport aux alertes basees sur des signatures.
L'engagement produit aussi du renseignement : la balise d'un honeyfile peut reveler un point d'exfiltration, et un compte leurre Active Directory qui s'authentifie soudainement expose un deplacement lateral en cours. Les defenseurs doivent peser le « gain/perte de renseignement » — le risque qu'interagir avec un adversaire l'alerte et grille la tromperie — et maintenir chaque action a l'interieur de l'infrastructure possedee afin de rester du bon cote de la loi.
flowchart LR
A[Adversaire dans le reseau] --> B{Touche un leurre ?}
B -- Oui --> C[Alerte a haute fidelite]
B -- Non --> D[Surveillance de routine]
C --> E[Engager : tarpit / observer]
E --> F[Collecter TTPs et IOCs]
F --> G[Perturber et evincer]
G --> H[Alimenter le renseignement sur les menaces]● Exemples
- 01
Tarpit retenant les connexions TCP d'un scanner pendant plusieurs minutes.
- 02
Honeyfile contenant une balise pour identifier la destination d'exfiltration.
● Questions fréquentes
Qu'est-ce que Defense active ?
Strategie defensive qui va au-dela de la surveillance passive pour engager, egarer et perturber les adversaires a l'interieur des propres actifs du defenseur. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Defense active ?
Strategie defensive qui va au-dela de la surveillance passive pour engager, egarer et perturber les adversaires a l'interieur des propres actifs du defenseur.
Comment se défendre contre Defense active ?
Les défenses contre Defense active combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Defense active ?
Noms alternatifs courants : Operations defensives, Engagement adversaire.