La sicurezza offensiva è un approccio proattivo e contraddittorio per proteggere i sistemi informatici, le reti e gli individui dagli attacchi. La sicurezza convenzionale, a volte denominata "sicurezza difensiva", si concentra su misure reattive, come l'applicazione di patch al software e l'individuazione e la correzione delle vulnerabilità del sistema. Al contrario, le misure di sicurezza offensive si concentrano sulla ricerca degli autori e, in alcuni casi, sul tentativo di disabilitare o almeno interrompere le loro operazioni.
Alla conferenza RSA 2012, Paul Asadoorian e John Strand hanno presentato metodi che le aziende possono utilizzare per frustrare potenziali aggressori, raccogliere informazioni su di loro e reagire con cautela senza azioni illegali. Gli uomini, entrambi istruttori del SANS Institute, pensavano che i loro metodi offensivi per i test di penetrazione potessero essere usati in modo difensivo.
Asadoorian e Strand raccomandano alle aziende di inserire dichiarazioni nei probabili punti di ingresso della rete avvertendo che chiunque tenti di accedere sarà sottoposto a un controllo simile a NAC, che informerebbe l'aggressore che i dati della macchina, gli indirizzi IP e MAC verranno raccolti.
Le tre componenti del metodo Asadoorian e Strand sono fastidio, attribuzione e attacco. La componente fastidiosa consiste nel frustrare il tentativo dell'aggressore attraverso strumenti che stabiliscono porte, servizi e directory falsi. Una volta che l'aggressore viene attirato nel falso sistema, finisce per attraversarlo all'infinito.
L'attribuzione - identificare accuratamente l'attaccante - è importante. Un metodo, come ha spiegato Asadoorian, è inserire un bug Web nei documenti sensibili. Se si accede al documento, il bug Web restituisce le informazioni sul sistema che ha eseguito l'accesso.
Secondo Asadoorian, la componente di attacco dovrebbe essere solo un potenziamento delle capacità di fastidio e attribuzione, piuttosto che un attacco veramente dannoso - e illegale - all'aggressore.