Uma defesa activa é o uso de acções ofensivas para ultrapassar um adversário e tornar um ataque mais difícil de realizar. Abrandar ou descarrilar o atacante para que ele não possa avançar ou completar o seu ataque aumenta a probabilidade de cometer um erro e expor a sua presença ou revelar o seu vector de ataque.
Embora o termo defesa activa esteja muitas vezes associado a aplicações militares e à protecção de infra-estruturas críticas e recursos chave (CIKR), também se aplica à segurança das tecnologias de informação (TI). Em ciber-segurança, uma defesa ativa aumenta o custo financeiro de um ataque em termos de desperdiçar o poder de processamento e tempo do atacante. A aplicação de estratégias de ataque é fundamental para ser capaz de detectar e parar não apenas os agentes de ameaças externas, mas também os infiltrados e atacantes com motivações variadas, incluindo resgate, extorsão e criptojacking .
Uma defesa ativa complementa as ações de ataque e permite que uma organização detecte e descarrile os ataques de forma proativa e recolha a inteligência da ameaça necessária para entender o ataque e prevenir uma recorrência semelhante. Às vezes a defesa ativa inclui atacar um atacante, mas isso normalmente é reservado para militares e policiais que têm os recursos e autoridade para confirmar a atribuição e tomar a ação apropriada.
A tecnologia de decepção pode ser usada para detectar um atacante no início do ciclo de ataque, ofuscando a superfície de ataque com iscas de dispositivos realistas e iscas digitais atraentes. A má direção pode enganar o atacante e levá-lo a acreditar que está aumentando seu ataque, quando na verdade, ele está perdendo seu tempo e poder de processamento e fornecendo ao defensor contra-inteligência. As informações forenses coletadas através de uma defesa ativa podem então ser aplicadas às estratégias de defesa e parar um ataque ao vivo, identificar artefatos forenses e agilizar a resposta ao incidente para evitar que o ataque ressurja.