En el contexto de un sistema informático que es atacado, tanto la Protección como la Defensa se consideran iguales.
Si se tratara de un ataque físico, habría una diferencia, pero en Seguridad de TI tanto Protección como Defensa son las mismas.
Hay un término llamado Almacenamiento protegido, pero este no es el mismo contexto
Defensa podría significar represalias, donde la Protección no lo haría. Sin embargo, las represalias no son una solución deseable en la seguridad de TI y no son directamente efectivas.
En mi opinión, Defensa es un término menos deseable, porque los sistemas informáticos tratan en términos absolutos; Protegido puede parecer más absoluto, donde Defendido implica una cantidad finita de recursos.
Personalmente, no usaría ninguno de los dos términos. En cambio, diría 'Asegurar un sistema' de los ataques. Esto se debe a que el éxito o el fracaso al atacar una vulnerabilidad es un absoluto. Esto es muy diferente de los ataques físicos en los que se relacionan con la "fuerza" en ambos lados. DoS es una excepción a esta distinción.