Активная защита
Что такое Активная защита?
Активная защитаСтратегия защиты, выходящая за рамки пассивного мониторинга и предполагающая взаимодействие, дезинформацию и срыв действий противника в пределах собственных ресурсов.
Активная защита объединяет методы, повышающие стоимость и риск для атакующих, не переходя черту незаконного hack-back. К ней относятся обман (honeypot, honeyfile, фальшивые учётки), threat hunting, взаимодействие в сети, tarpit, документы-маяки, операции по получению или сокрытию разведданных. Фреймворк MITRE Engage формализовал дисциплину, заменив прежний проект Shield, и сгруппировал техники в категории сбор, обнаружение, нарушение, успокоение и мотивация. Все действия выполняются исключительно на ресурсах, которыми владеет или которые контролирует защитник. Активная защита дополняет классические detection-and-response, формируя поведение атакующего, выдавая качественную телеметрию и пригодные к действию данные threat intelligence.
Удобный способ очертить границы дисциплины — спектр «annoyance, attribution, and attack» (досаждение, атрибуция и атака), популяризированный связанным с SANS дистрибутивом Active Defense Harbinger Distribution (ADHD): для большинства организаций законны лишь первые два, тогда как «атака» — взлом собственной инфраструктуры противника — как правило, нарушает американский Computer Fraud and Abuse Act (CFAA) и аналогичные законы за рубежом. К практичным и юридически защитимым инструментам относятся канареечные токены (Thinkst Canarytokens), SSH-tarpit вроде Endlessh, исторический tarpit LaBrea, а также подложные учётные данные, размещённые в LSASS или браузере, чтобы спровоцировать срабатывание инструментов кражи учётных данных. Каждый из них вызывает высокоточное оповещение, поскольку у легитимного пользователя нет никаких причин когда-либо их трогать, что резко снижает число ложных срабатываний по сравнению с сигнатурными оповещениями.
Взаимодействие также приносит разведданные: маяк в honeyfile способен раскрыть точку эксфильтрации, а подложная учётная запись Active Directory, внезапно прошедшая аутентификацию, выдаёт идущее боковое перемещение. Защитники должны взвешивать «получение/потерю разведданных» (intelligence gain/loss) — риск того, что взаимодействие с противником насторожит его и сожжёт обманную приманку, — и удерживать каждое действие в пределах собственной инфраструктуры, чтобы оставаться на правильной стороне закона.
flowchart LR
A[Противник внутри сети] --> B{Тронул приманку?}
B -- Да --> C[Высокоточное оповещение]
B -- Нет --> D[Рутинный мониторинг]
C --> E[Взаимодействие: tarpit / наблюдение]
E --> F[Сбор TTPs и IOCs]
F --> G[Срыв и выдворение]
G --> H[Передача в threat intelligence]● Примеры
- 01
Tarpit, удерживающий TCP-соединения сканера открытыми по нескольку минут.
- 02
Honeyfile с маяком, позволяющий установить адрес назначения эксфильтрации.
● Частые вопросы
Что такое Активная защита?
Стратегия защиты, выходящая за рамки пассивного мониторинга и предполагающая взаимодействие, дезинформацию и срыв действий противника в пределах собственных ресурсов. Относится к категории Защита и операции в кибербезопасности.
Что означает Активная защита?
Стратегия защиты, выходящая за рамки пассивного мониторинга и предполагающая взаимодействие, дезинформацию и срыв действий противника в пределах собственных ресурсов.
Как защититься от Активная защита?
Защита от Активная защита обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Активная защита?
Распространённые альтернативные названия: Оборонительные киберопрерации, Adversary engagement.