1.4.3　主动防御

面对“意志坚定”、资源充足的攻击者，被动防御机制也会失效。此时对抗攻击者需要采取主动的防御措施，前提是由训练有素的安全人员来对抗训练有素的攻击者。其中至关重要的是给予这些安全人员足够的授权，让他们能够在被动防御体系所保护和监控的架构安全体系上展开防御工作。

从网络安全角度对“主动防御”给出如下定义：分析人员对处于防御网络内的威胁进行监控、响应、学习（经验）和应用知识（理解）的过程。请注意，这里添加了“网络内”这一限定，以防止将主动防御的定义曲解为回击（hack-back）。在主动防御这一类别下，分析人员是指能够利用环境寻找攻击者并做出响应的各类安全人员，包括事件响应人员、恶意软件逆向工程师、威胁分析师、网络安全监控分析师等。主动防御与被动防御的不同之外在于人的参与，并且主动防御的主要目的是检测进入网络内的攻击行为，对其采取适当的处置措施，减少攻击者在内部停留的时间。

主动的安全防御应当关注分析过程而不是工具产生的结果，强调主动防御的策略和想要达到的目的：提升防御体系机动能力和增强防御体系的适应性。防御体系的软硬件系统本身不能提供弹性的机动能力和自适应性，只能作为主动防御的工具。同样，只用一种工具，如系统信息和事件管理器，并不能使分析人员成为主动防御者。与工具使用同样重要的是措施和使用过程，还有人员配备和能力培训。将持续性和危险性赋予高级威胁的主体是躲在阴暗处、具有强适应能力的攻击者，回击这些攻击者需要防御者至少具备与其同等的能力。