主动防御
主动防御 是什么?
主动防御一种超越被动监控的防御策略,在防御者自己的网络和资产范围内主动与对手交锋、误导并干扰其行动。
主动防御指的是在不越过非法 hack-back 红线的前提下,提高攻击者成本与风险的一系列技术,包括欺骗(蜜罐、蜜罐文件、诱饵账户)、威胁狩猎、网内交互、tarpit、带有信标的诱饵文档以及情报得失运作。MITRE Engage 框架取代了早期的 Shield 项目,将该学科正式化,并将其方法归类为收集、检测、干扰、安抚和动机塑造等技术。所有活动都在防御者所拥有或控制的资产之内进行。主动防御通过塑造攻击者行为、产生高质量遥测和可操作威胁情报,与传统的检测响应能力形成互补。
● 示例
- 01
tarpit 使扫描器的 TCP 连接保持数分钟不释放。
- 02
在蜜罐文件中植入信标,以识别数据外泄的目的地。
● 常见问题
主动防御 是什么?
一种超越被动监控的防御策略,在防御者自己的网络和资产范围内主动与对手交锋、误导并干扰其行动。 它属于网络安全的 防御与运营 分类。
主动防御 是什么意思?
一种超越被动监控的防御策略,在防御者自己的网络和资产范围内主动与对手交锋、误导并干扰其行动。
主动防御 是如何工作的?
主动防御指的是在不越过非法 hack-back 红线的前提下,提高攻击者成本与风险的一系列技术,包括欺骗(蜜罐、蜜罐文件、诱饵账户)、威胁狩猎、网内交互、tarpit、带有信标的诱饵文档以及情报得失运作。MITRE Engage 框架取代了早期的 Shield 项目,将该学科正式化,并将其方法归类为收集、检测、干扰、安抚和动机塑造等技术。所有活动都在防御者所拥有或控制的资产之内进行。主动防御通过塑造攻击者行为、产生高质量遥测和可操作威胁情报,与传统的检测响应能力形成互补。
如何防御 主动防御?
针对 主动防御 的防御通常结合技术控制与运营实践,详见上方完整定义。
主动防御 还有哪些其他名称?
常见的别称包括: 防御性网络行动, 对手交锋。
● 相关术语
- defense-ops№ 293
欺骗防御技术
一种防御方法,在网络、终端、AD 和云中部署诱饵、面包屑和伪造资产,以高保真方式检测、误导并研究攻击者。
- network-security№ 485
蜜罐
故意暴露的诱饵系统或服务,用于吸引攻击者、观察其技战术并将其引离生产资产。
- defense-ops№ 483
蜜罐文件
放置在存储中的诱饵文档,一旦攻击者或内部人员读取、复制或外泄,即可触发告警。
- defense-ops№ 1147
威胁狩猎
基于假设的主动搜索,深入遥测数据,发现绕过现有检测的威胁。
- defense-ops№ 456
反击式黑客行动(Hack-Back)
私营受害方主动对攻击者基础设施实施的报复性进攻行为,在大多数国家的计算机滥用法律下基本属于违法。
- compliance№ 687
MITRE ATT&CK
由 MITRE 维护、面向全球开放的对手战术与技术知识库,基于真实攻击观察持续更新。
● 参见
- № 482蜜罐账号(Honey Account)