Segurança ofensiva é uma abordagem proativa e adversária para proteger sistemas informáticos, redes e indivíduos de ataques. Segurança convencional -- às vezes referida como "segurança defensiva" -- foca em medidas reativas, tais como correção de software e descoberta e correção de vulnerabilidades do sistema. Em contraste, as medidas de segurança ofensiva estão focadas em procurar os agressores e, em alguns casos, tentar desativar ou pelo menos interromper suas operações.
Na conferência RSA 2012, Paul Asadoorian e John Strand apresentaram métodos que as empresas podem usar para frustrar os possíveis agressores, reunir informações sobre eles e retaliar cautelosamente sem ações ilegais. Os homens, ambos instrutores do Instituto SANS, pensaram que seus métodos ofensivos para testes de penetração poderiam ser usados defensivamente.
Asadoorian e Strand recomendam que as empresas coloquem declarações em prováveis pontos de entrada na rede alertando que qualquer um que tente obter acesso será submetido a uma verificação do tipo NAC, que informaria ao atacante que seus dados de máquina, endereços IP e MAC seriam coletados.
Os três componentes do método Asadoorian e Strand são incômodo, atribuição e ataque. O componente incômodo consiste em frustrar a tentativa do atacante através de ferramentas que estabelecem portas, serviços e diretórios falsos. Uma vez que o atacante é atraído para o falso sistema, ele acaba passando infinitamente por ele.
Attribution -- identificando com precisão o atacante -- é importante. Um método, como Asadoorian explicou, é colocar um bug Web em documentos sensíveis. Se o documento é acessado, o Web bug envia de volta informações sobre o sistema que o acessou.
De acordo com Asadoorian, o componente de ataque deve ser apenas um aprimoramento das capacidades de irritação e atribuição, ao invés de um ataque verdadeiramente malicioso -- e ilegal -- ao atacante.