Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 013

Defesa ativa

Revisado porCybersecurity entrepreneur & security researcher

O que é Defesa ativa?

Defesa ativaEstrategia defensiva que vai alem da monitorizacao passiva para enfrentar, despistar e perturbar adversarios dentro dos ativos do proprio defensor.


A defesa ativa engloba tecnicas que aumentam o custo e o risco do atacante sem cruzar a linha do hack-back ilegal. Inclui engano (honeypots, honeyfiles, contas isca), threat hunting, engajamento na rede, tarpits, documentos com balizas e operacoes de ganho/perda de inteligencia. O framework MITRE Engage formalizou a disciplina, substituindo o antigo projeto Shield, e agrupa as tecnicas em coleta, detecao, disrupcao, tranquilizacao e motivacao. A defesa ativa e executada integralmente em ativos pertencentes ou controlados pelo defensor. Complementa a detecao e resposta tradicionais ao moldar o comportamento do atacante, gerar telemetria de alta qualidade e produzir inteligencia acionavel.

Uma forma util de delimitar a disciplina e o espectro de "incomodo, atribuicao e ataque" (annoyance, attribution, and attack) popularizado pela Active Defense Harbinger Distribution (ADHD) associada ao SANS: apenas os dois primeiros sao licitos para a maioria das organizacoes, ao passo que o "ataque" — invadir a propria infraestrutura do adversario — geralmente viola a Computer Fraud and Abuse Act (CFAA) dos EUA e leis equivalentes no estrangeiro. Entre as ferramentas praticas e defensaveis incluem-se os tokens canario (Thinkst Canarytokens), tarpits SSH como o Endlessh, o historico tarpit LaBrea e credenciais isca plantadas no LSASS ou no navegador para fazer cair as ferramentas de roubo de credenciais. Cada uma dispara um alerta de alta fidelidade porque um utilizador legitimo nao tem qualquer razao para lhes tocar, o que reduz drasticamente os falsos positivos face aos alertas baseados em assinaturas.

O engajamento tambem rende inteligencia: a baliza de um honeyfile pode revelar um ponto de exfiltracao, e uma conta isca do Active Directory que de repente se autentica expoe um movimento lateral em curso. Os defensores devem ponderar o "ganho/perda de inteligencia" — o risco de que interagir com um adversario o alerte e queime o engano — e manter cada acao dentro da infraestrutura propria para permanecerem do lado certo da lei.

flowchart LR
  A[Adversario dentro da rede] --> B{Toca na isca?}
  B -- Sim --> C[Alerta de alta fidelidade]
  B -- Nao --> D[Monitorizacao de rotina]
  C --> E[Engajar: tarpit / observar]
  E --> F[Recolher TTPs e IOCs]
  F --> G[Perturbar e expulsar]
  G --> H[Alimentar a inteligencia de ameacas]

Exemplos

  1. 01

    Tarpit que mantem as conexoes TCP de um scanner abertas por varios minutos.

  2. 02

    Honeyfile com baliza para identificar o destino da exfiltracao.

Perguntas frequentes

O que é Defesa ativa?

Estrategia defensiva que vai alem da monitorizacao passiva para enfrentar, despistar e perturbar adversarios dentro dos ativos do proprio defensor. Pertence à categoria Defesa e operações da cibersegurança.

O que significa Defesa ativa?

Estrategia defensiva que vai alem da monitorizacao passiva para enfrentar, despistar e perturbar adversarios dentro dos ativos do proprio defensor.

Como se defender contra Defesa ativa?

As defesas contra Defesa ativa costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Quais são outros nomes para Defesa ativa?

Nomes alternativos comuns: Operacoes defensivas, Engajamento adversarial.

Termos relacionados

Ver também