我們很難確定“反攻擊”是否是可接受的企業防御做法，特別是當我們不知道這個術語的具體含義。

在RSA 2013信息安全大會的討論組中，由Akamai技術公司的安全情報主管Joshua Corman帶領的專家小組試圖確定攻擊式安全保護的模糊概念，他們將其寬泛地定義為反過來對付攻擊者（或者潛在攻擊者）的各種努力，主要通過滲透其網絡或者禁用其系統。 這個話題曾經在很大程度上屬于理論范疇，但在后期，特別是在Mandiant公司發布了造成轟動的APT1后，它有了更實用的意義。

Mandiant公司在RSA大會之前剛剛發布了這份報告，該公司提供了令人信服的證據來說明受外國政府支持的軍事團體已經侵入企業多年，并竊取知識產品，而且幾乎不用承擔任何后果。

Corman表示他注意到最近在業界討論中越來越多地涉及攻擊式安全保護是否可接受。主動防御供應商CrowdStrike公司的首席執行官George Kurtz表示，企業對他們無法阻止高級攻擊，特別是那些由民族國家發起的攻擊，感到越來越受挫。

“在我們的客戶中，在過去幾年中遭受過持續和主動攻擊的大多數客戶都已經厭倦了漏洞利用、取證檢查、捕捉內存、扁平化服務器以及重新開始，大家的挫敗感在攻擊安全的討論中展漏無疑，”Kurtz表示，“人們都在說，‘政府不保護我們，我們能做些什么呢？’”

然而，企業如何對其IT基礎設施的保護從防守轉變為進攻呢？安全供應商Sourcefire公司云技術組首席架構師Adam O’Donnell表示，當企業的保護工作涉及穿越到另一個企業的網絡邊界來進行改變時，企業就不再只是防守。

O'Donnell擔心越來越多的企業可能會考慮對攻擊者采用“反攻擊”方法，但他表示，私人機構不應該承擔聯邦政府的責任，并且追蹤可能受外國政府資助或與之相關的惡意行為是很危險的事情。“你用代碼來回應對手時，而他們已經習慣了用子彈來回應，”O'Donnell表示，“他們并不只是簡單地要破壞你的主機和污損你的網站，他們還會回來射殺，如果你要開始反攻擊的話，你最好考慮清楚這些問題。”

瞻博網絡公司高級主管兼首席安全架構師Christopher Hoff則持有不同的觀點。他提出了一個假設情況，攻擊者試圖訪問受害者的網站，抱著破壞的目的，進行“授權的、明確的連接”。如果企業可以檢測到這個攻擊企圖，那么，企業采用類似的敵對數據包來回應是很合理的。Hoff表示：“如果有人直接連接到我，我發回一個響應，無論我回應的方式是否是他們意料之中，這都不是滲透；這只是以授權的方式回復一個請求。”

雖然一些小組成員似乎對Hoff的說法有些不滿，但與不少業內人士一樣，他們都不愿意提出與之抗衡的關于“反攻擊”的定義。在這種情況下，Corman試圖讓小組成員來為觀眾定義該術語，而這就像燙手的山芋一樣被拋來拋去，Hoff最終建議應該對攻擊者進行攻擊，而這超出了上述他的例子中的“請求-響應”的說法。 O'Donnell表示，反攻擊是追蹤不受其控制的機器，而主動防御是追蹤不屬于自己的機器。

這個功能規范如此難以界定的部分原因在于法律規范同樣不清楚。專家組成員斯坦福大學法學院研究員兼律師Andrew Woods表示，監管這些行為的主要美國法律是1984年計算機欺詐和濫用法案（CFAA）。

該法案對任何故意逾越授權網絡訪問范圍的人進行處罰。然而，多年來，法院對訪問有廣泛的定義，起初它意味著對計算機的物理訪問，后來是指在任何特定網絡的范圍開始和結束的訪問。

在CFAA法律下，哪些行為是被允許的呢？Woods舉出了一些例子，包括阻止網絡入侵者、使用虛假數據混淆他們以及誤導他們到假目標。然而，使用工具來影響攻擊者的網絡可能違反CFAA，而當攻擊者位于美國司法管轄區以外時，該法律幾乎沒有提供指導。“攻擊式安全保護是一個很大的說法，”Woods表示，“鑒于監管法律的模糊性，這種安全保護也是復雜的。”

Kurtz說：“雖然刑事法規有顯著的影響，但企業管理人員往往更關心的是民事和金融方面的影響。他表示，首席信息官議會的第一個問題應該是進攻安全是否合法，而他們的第二個問題應該是企業是否可能被起訴。”

不是直接地反擊攻擊者，Kurtz提供了更好的方法來對付攻擊者，即他所謂的“阻止和擺脫”以及“觀察和包含”雙管齊下的方法。他表示，有針對性的攻擊者就像白蟻一樣，在某些情況下，有必要“包圍整個房間”，而在其他情況下，就像是有針對性的攻擊，企業應該將自己定位為觀察者，觀察攻擊者的行為，通過埋伏虛假信息來了解他們想要什么以及原因。

“對于高端民族國家級IP盜竊，信息被大量收集，并有人在鍵盤的另一端來檢查這些信息，”Kurtz表示，“如果他們不知道什么是真正有價值的信息，這將會提高其成本。所以，你應該采取主動，但并不破壞某些東西。”