アクティブディフェンス
アクティブディフェンス とは何ですか?
アクティブディフェンス受動的な監視にとどまらず、防御者自身のネットワークと資産の範囲内で敵対者に積極的に関与し、誤誘導し、妨害する防御戦略。
アクティブディフェンスとは、違法なハックバックの一線を越えることなく、攻撃者のコストとリスクを引き上げる手法群を指します。具体的には、デセプション(ハニーポット、ハニーファイル、おとりアカウント)、スレットハンティング、ネットワーク内エンゲージメント、tarpit、ビーコン入り文書、情報の付与/隠蔽オペレーションなどが含まれます。MITRE Engage フレームワークはかつての Shield プロジェクトに代わって本分野を体系化し、Collect、Detect、Disrupt、Reassure、Motivate などの技術カテゴリに整理しています。すべての活動は防御側が所有または管理する資産上で行われます。アクティブディフェンスは、攻撃者の振る舞いを誘導し、高品質なテレメトリと実用的な脅威インテリジェンスを生み出すことで、従来の検知・対応を補完します。
● 例
- 01
スキャナーの TCP コネクションを数分間つかんで離さない tarpit。
- 02
ビーコンを仕込んだハニーファイルで持ち出し先を特定する運用。
● よくある質問
アクティブディフェンス とは何ですか?
受動的な監視にとどまらず、防御者自身のネットワークと資産の範囲内で敵対者に積極的に関与し、誤誘導し、妨害する防御戦略。 サイバーセキュリティの 防御と運用 カテゴリに属します。
アクティブディフェンス とはどういう意味ですか?
受動的な監視にとどまらず、防御者自身のネットワークと資産の範囲内で敵対者に積極的に関与し、誤誘導し、妨害する防御戦略。
アクティブディフェンス はどのように機能しますか?
アクティブディフェンスとは、違法なハックバックの一線を越えることなく、攻撃者のコストとリスクを引き上げる手法群を指します。具体的には、デセプション(ハニーポット、ハニーファイル、おとりアカウント)、スレットハンティング、ネットワーク内エンゲージメント、tarpit、ビーコン入り文書、情報の付与/隠蔽オペレーションなどが含まれます。MITRE Engage フレームワークはかつての Shield プロジェクトに代わって本分野を体系化し、Collect、Detect、Disrupt、Reassure、Motivate などの技術カテゴリに整理しています。すべての活動は防御側が所有または管理する資産上で行われます。アクティブディフェンスは、攻撃者の振る舞いを誘導し、高品質なテレメトリと実用的な脅威インテリジェンスを生み出すことで、従来の検知・対応を補完します。
アクティブディフェンス からどのように防御しますか?
アクティブディフェンス に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
アクティブディフェンス の別名は何ですか?
一般的な別名: 防御的サイバー作戦, アドバーサリーエンゲージメント。
● 関連用語
- defense-ops№ 293
デセプション技術
ネットワーク、エンドポイント、AD、クラウド全体におとり・パンくず・偽資産を配置し、高精度に攻撃者を検知・誘導・観察する防御手法。
- network-security№ 485
ハニーポット
攻撃者を誘い込み、その手口を観察して本番資産から引き離すために、意図的に公開された囮システムやサービス。
- defense-ops№ 483
ハニーファイル
ストレージに配置するおとり文書で、攻撃者や内部不正者が読み取り、コピー、外部送信した時点でアラートを発生させる。
- defense-ops№ 1147
スレットハンティング
既存検知をすり抜けた脅威を見つけ出すため、テレメトリを仮説駆動で能動的に探索する取り組み。
- defense-ops№ 456
ハックバック
民間の被害者が攻撃者のインフラに対して行う報復的な攻撃行為。多くの国の不正アクセス禁止法の下では原則として違法とされる。
- compliance№ 687
MITRE ATT&CK
MITRE が維持する、実際の攻撃で観測された攻撃者の戦術・技術に関するグローバルな公開ナレッジベース。
● 関連項目
- № 482ハニーアカウント