Una difesa attiva è l'uso di azioni offensive per superare in astuzia un avversario e rendere un attacco più difficile da eseguire. Rallentare o far deragliare l'attaccante in modo che non possa avanzare o completare il suo attacco aumenta la probabilità che commetta un errore ed esponga la sua presenza o riveli il suo vettore di attacco.
Sebbene il termine difesa attiva sia spesso associato alle applicazioni militari e alla protezione di infrastrutture critiche e risorse chiave (CIKR), si applica anche alla sicurezza informatica (IT). Nella sicurezza informatica, una difesa attiva aumenta il costo finanziario di un attacco in termini di spreco di tempo e potenza di elaborazione dell'attaccante. L'applicazione di strategie basate sull'offesa è fondamentale per essere in grado di rilevare e bloccare non solo gli attori esterni delle minacce, ma anche gli addetti ai lavori e gli aggressori con motivazioni diverse tra cui ransomware, estorsione e cryptojacking.
Una difesa attiva completa le azioni guidate dall'offesa e consente a un'organizzazione di rilevare e far deragliare preventivamente gli attacchi e raccogliere le informazioni sulle minacce necessarie per comprendere l'attacco e prevenire una ricorrenza simile. A volte la difesa attiva include il contrattacco contro un aggressore, ma questo è normalmente riservato ai militari e alle forze dell'ordine che hanno le risorse e l'autorità per confermare l'attribuzione e intraprendere le azioni appropriate.
La tecnologia dell'inganno può essere utilizzata per rilevare un aggressore nelle prime fasi del ciclo di attacco offuscando la superficie di attacco con esche realistiche e attraenti esche digitali. La deviazione può indurre l'attaccante a ingaggiare e portarlo a credere che stia intensificando il suo attacco, quando in realtà sta sprecando il suo tempo e la sua potenza di elaborazione e fornendo al difensore il controspionaggio. Le informazioni forensi raccolte attraverso una difesa attiva possono quindi essere applicate alle strategie di difesa e fermare un attacco dal vivo, identificare artefatti forensi e accelerare la risposta agli incidenti per evitare che l'attacco riemerga.