Активная защита
Что такое Активная защита?
Активная защитаСтратегия защиты, выходящая за рамки пассивного мониторинга и предполагающая взаимодействие, дезинформацию и срыв действий противника в пределах собственных ресурсов.
Активная защита объединяет методы, повышающие стоимость и риск для атакующих, не переходя черту незаконного hack-back. К ней относятся обман (honeypot, honeyfile, фальшивые учётки), threat hunting, взаимодействие в сети, tarpit, документы-маяки, операции по получению или сокрытию разведданных. Фреймворк MITRE Engage формализовал дисциплину, заменив прежний проект Shield, и сгруппировал техники в категории сбор, обнаружение, нарушение, успокоение и мотивация. Все действия выполняются исключительно на ресурсах, которыми владеет или которые контролирует защитник. Активная защита дополняет классические detection-and-response, формируя поведение атакующего, выдавая качественную телеметрию и пригодные к действию данные threat intelligence.
● Примеры
- 01
Tarpit, удерживающий TCP-соединения сканера открытыми по нескольку минут.
- 02
Honeyfile с маяком, позволяющий установить адрес назначения эксфильтрации.
● Частые вопросы
Что такое Активная защита?
Стратегия защиты, выходящая за рамки пассивного мониторинга и предполагающая взаимодействие, дезинформацию и срыв действий противника в пределах собственных ресурсов. Относится к категории Защита и операции в кибербезопасности.
Что означает Активная защита?
Стратегия защиты, выходящая за рамки пассивного мониторинга и предполагающая взаимодействие, дезинформацию и срыв действий противника в пределах собственных ресурсов.
Как работает Активная защита?
Активная защита объединяет методы, повышающие стоимость и риск для атакующих, не переходя черту незаконного hack-back. К ней относятся обман (honeypot, honeyfile, фальшивые учётки), threat hunting, взаимодействие в сети, tarpit, документы-маяки, операции по получению или сокрытию разведданных. Фреймворк MITRE Engage формализовал дисциплину, заменив прежний проект Shield, и сгруппировал техники в категории сбор, обнаружение, нарушение, успокоение и мотивация. Все действия выполняются исключительно на ресурсах, которыми владеет или которые контролирует защитник. Активная защита дополняет классические detection-and-response, формируя поведение атакующего, выдавая качественную телеметрию и пригодные к действию данные threat intelligence.
Как защититься от Активная защита?
Защита от Активная защита обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Активная защита?
Распространённые альтернативные названия: Оборонительные киберопрерации, Adversary engagement.
● Связанные термины
- defense-ops№ 293
Технологии обмана (Deception)
Подход к защите, при котором по сети, конечным точкам, AD и облаку размещают приманки, хлебные крошки и поддельные ресурсы для точного обнаружения, дезориентации и изучения атакующих.
- network-security№ 485
Ханипот
Имитирующая реальную систему или сервис приманка, намеренно выставленная наружу для привлечения атакующих, изучения их методов и отвлечения от продуктивных активов.
- defense-ops№ 483
Ханифайл
Файл-приманка в хранилище, который запускает оповещение при чтении, копировании или эксфильтрации злоумышленником или инсайдером.
- defense-ops№ 1147
Охота за угрозами
Проактивный поиск по телеметрии на основе гипотез, направленный на обнаружение угроз, проскочивших мимо имеющихся детектов.
- defense-ops№ 456
Hack-back (ответный взлом)
Ответные наступательные действия частной жертвы против инфраструктуры атакующего, как правило незаконные по большинству национальных законов о компьютерных преступлениях.
- compliance№ 687
MITRE ATT&CK
Глобально доступная база знаний о тактиках и техниках противников, наблюдаемых в реальных атаках, поддерживаемая MITRE.