Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 013

Активная защита

ПроверилCybersecurity entrepreneur & security researcher

Что такое Активная защита?

Активная защитаСтратегия защиты, выходящая за рамки пассивного мониторинга и предполагающая взаимодействие, дезинформацию и срыв действий противника в пределах собственных ресурсов.


Активная защита объединяет методы, повышающие стоимость и риск для атакующих, не переходя черту незаконного hack-back. К ней относятся обман (honeypot, honeyfile, фальшивые учётки), threat hunting, взаимодействие в сети, tarpit, документы-маяки, операции по получению или сокрытию разведданных. Фреймворк MITRE Engage формализовал дисциплину, заменив прежний проект Shield, и сгруппировал техники в категории сбор, обнаружение, нарушение, успокоение и мотивация. Все действия выполняются исключительно на ресурсах, которыми владеет или которые контролирует защитник. Активная защита дополняет классические detection-and-response, формируя поведение атакующего, выдавая качественную телеметрию и пригодные к действию данные threat intelligence.

Удобный способ очертить границы дисциплины — спектр «annoyance, attribution, and attack» (досаждение, атрибуция и атака), популяризированный связанным с SANS дистрибутивом Active Defense Harbinger Distribution (ADHD): для большинства организаций законны лишь первые два, тогда как «атака» — взлом собственной инфраструктуры противника — как правило, нарушает американский Computer Fraud and Abuse Act (CFAA) и аналогичные законы за рубежом. К практичным и юридически защитимым инструментам относятся канареечные токены (Thinkst Canarytokens), SSH-tarpit вроде Endlessh, исторический tarpit LaBrea, а также подложные учётные данные, размещённые в LSASS или браузере, чтобы спровоцировать срабатывание инструментов кражи учётных данных. Каждый из них вызывает высокоточное оповещение, поскольку у легитимного пользователя нет никаких причин когда-либо их трогать, что резко снижает число ложных срабатываний по сравнению с сигнатурными оповещениями.

Взаимодействие также приносит разведданные: маяк в honeyfile способен раскрыть точку эксфильтрации, а подложная учётная запись Active Directory, внезапно прошедшая аутентификацию, выдаёт идущее боковое перемещение. Защитники должны взвешивать «получение/потерю разведданных» (intelligence gain/loss) — риск того, что взаимодействие с противником насторожит его и сожжёт обманную приманку, — и удерживать каждое действие в пределах собственной инфраструктуры, чтобы оставаться на правильной стороне закона.

flowchart LR
  A[Противник внутри сети] --> B{Тронул приманку?}
  B -- Да --> C[Высокоточное оповещение]
  B -- Нет --> D[Рутинный мониторинг]
  C --> E[Взаимодействие: tarpit / наблюдение]
  E --> F[Сбор TTPs и IOCs]
  F --> G[Срыв и выдворение]
  G --> H[Передача в threat intelligence]

Примеры

  1. 01

    Tarpit, удерживающий TCP-соединения сканера открытыми по нескольку минут.

  2. 02

    Honeyfile с маяком, позволяющий установить адрес назначения эксфильтрации.

Частые вопросы

Что такое Активная защита?

Стратегия защиты, выходящая за рамки пассивного мониторинга и предполагающая взаимодействие, дезинформацию и срыв действий противника в пределах собственных ресурсов. Относится к категории Защита и операции в кибербезопасности.

Что означает Активная защита?

Стратегия защиты, выходящая за рамки пассивного мониторинга и предполагающая взаимодействие, дезинформацию и срыв действий противника в пределах собственных ресурсов.

Как защититься от Активная защита?

Защита от Активная защита обычно сочетает технические меры и операционные практики, как описано в определении выше.

Какие есть другие названия Активная защита?

Распространённые альтернативные названия: Оборонительные киберопрерации, Adversary engagement.

Связанные термины

См. также