6、利用网络情报实现主动防御及F3EAD流程解析

利用网络情报实现主动防御及F3EAD流程解析

1. 网络情报助力主动防御

在信息安全领域，主动防御是一个热门话题。其框架能从高级持续性威胁（APT）的视角梳理防御步骤，全球的渗透团队也会执行类似步骤。我们的目标是理解这些步骤，确定特定威胁在链条中的位置并阻止它。不同的威胁，如APT组织、黑客活动分子和脚本小子，都有各自的技术、战术和程序（TTPs）。通过网络情报，我们能将特定行动或行为归因于相应威胁。

TTPs不仅适用于特定黑客组织和国家行为体，像系统管理员访问非授权数据库这样的情况，系统管理员本身以及允许其越权访问的网络能力都可视为威胁。

主动防御有三个原则，但由于法律和道德问题，我们主要关注前两个原则：
- 原则1：骚扰（Annoyance）
- 我们可通过控制网络中的时间资源来干扰对手。从脚本小子到国家行为体，都有一个时间阈值，超过这个阈值继续攻击就变得不值得。我们可以通过阻止攻击或误导攻击者，让他们觉得攻击有效，从而消耗他们的时间和资源。
- 阻止攻击的示例 ：
- 地理封锁防火墙规则
- 端口安全
- 安全培训以报告可能的恶意行为
- 误导攻击的示例 ：
- 路由到空
- 蜜罐文档（Honey docs）
- 蜜罐（Honey pots）
- 就像《兔八哥和大笨狼》的卡通中，兔八哥以速度不断挫败大笨狼的追捕，我们要让对手花费大量精力来突破我们的防御。
- 原则2：归因（Attribution）