迄今为止，各种安全解决方案的基本思路仍然是攻击与防御的对抗，以洛克希德·马丁公司提出的“网络杀伤链（Cyber Kill Chain）”为代表，并进一步发展和细化为ATT&CK模型。在这种思路下，企业需要穷举可能遇到的威胁和攻击，并部署相应的防护措施。

然而，截止2020年4月25日，MITRE ATT&CK模型包括三部分，分别是：PRE-ATT&CK，包含15类战术174种技术；企业ATT&CK阵列，包含12类战术266种技术；移动ATT&CK阵列，包含13类战术79种技术。随着时间推移，还会不断诞生新的战术和技术，而且往往是在攻击者成功实践之后，新的战术和技术才会被总结出来纳入ATT&CK体系。

在此基础上，要做到全面和充分的防护，企业需要配备足够的专业人员，根据业务的实际情况分析和识别需要防范的攻击技术，选择和部署相应的安全产品/方案，并保证持续关注和及时响应及更新。且不说这样的安全实践对企业业务的影响，受人员、资金和时间的限制，几乎不可能有企业能够真正完成。

其实，归纳攻击者行为的网络杀伤链和ATT&CK模型的真正用处在于事故发生后的分析和鉴证（forensics），而不是防御。

另一方面，我们应该认识到，根据进攻者的策略/行为制定防御策略/行为是被动防御(Passive Defense)。其中，侦测和响应攻击是消极(Negative)行为，对攻击进行预判和预防是积极(Positive)行为。如果与Gartner的“自适应攻击防护框架（Adaptive Attack Protection Architecture）”对应，则侦测（Detect）和响应（Respond）属于消极行为，预测（Predict）和预防（Prevent）属于积极行为。

根据实际业务的特征和需要制定防御策略/行为是主动防御（Active Defense）。与传统安全理念强调保证“可信”、对抗攻击不同，“零信任”的根本特点在于接受业务中普遍“不可信”的现实，主动为业务提供支持和保障。