在網(wǎng)絡(luò)中建立橋頭堡后，攻擊者就會用獲取到的權(quán)限探測周邊環(huán)境，擴(kuò)大控制范圍，達(dá)成最終目的：竊取、篡改或破壞敏感數(shù)據(jù)。他們會混在合法用戶中間潛入企業(yè)，在企業(yè)網(wǎng)絡(luò)中隱蔽行動數(shù)月乃至數(shù)年之久。

傳統(tǒng)攻擊檢測方法給安全團(tuán)隊(duì)帶來了極大的人工操作負(fù)擔(dān)。企業(yè)往往不得不將多個終端產(chǎn)品的安全數(shù)據(jù)整合到一處，才能發(fā)現(xiàn)并阻止惡意行為。其結(jié)果就是安全防護(hù)陷入“救火隊(duì)”模式：大量警報(bào)產(chǎn)生，但缺乏控制威脅所需的上下文環(huán)境，分析師不得不耗費(fèi)寶貴的時間精力去追尋額外信息，阻止惡意攻擊的使命反而遭到阻滯。
“救火隊(duì)”模式所需的專業(yè)技術(shù)和人力資源給企業(yè)帶來了很大負(fù)擔(dān);而即便全部所需情報(bào)都收集到了，安全團(tuán)隊(duì)也需要額外的資源和專業(yè)技能來分揀警報(bào)，然后才可以關(guān)聯(lián)、調(diào)查并阻止威脅。所以，很多團(tuán)隊(duì)因其中牽涉的大量人力而不去做此類分析也就可以理解了。當(dāng)然，這么做也就讓企業(yè)面臨了遭遇攻擊的風(fēng)險。
行為分析和機(jī)器學(xué)習(xí)之類新興方法正是在這種情況下受到了企業(yè)的青睞。這些新興方法重新定義了隱藏安全事件檢測和網(wǎng)絡(luò)攻擊防護(hù)，未來會被更多的企業(yè)所采用。
不過，在購置部署之前，安全團(tuán)隊(duì)需要考慮如何最大化行為分析服務(wù)的效能。
統(tǒng)一的安全數(shù)據(jù)集
行為分析服務(wù)需要來自正確位置的高品質(zhì)數(shù)據(jù)，理想化的是從云端獲得。傳感器需在云端、終端和網(wǎng)絡(luò)中都有部署，數(shù)據(jù)應(yīng)收集到一個統(tǒng)一的數(shù)據(jù)集中以方便取用。數(shù)據(jù)不共享的獨(dú)立產(chǎn)品太多，是基本不可能構(gòu)建行為分析的，因?yàn)橛锌赡艽罅繒r間都花在了規(guī)范數(shù)據(jù)而不是識別并阻止威脅上。安全團(tuán)隊(duì)?wèi)?yīng)考慮采用自帶跨平臺高品質(zhì)數(shù)據(jù)持續(xù)收集功能的行為分析服務(wù)。
原生工作流自動處理能力
行為分析的目的是識別高級攻擊、內(nèi)部人威脅和受感染終端，并在傷害造成之前予以阻止。行為分析的第一步，就是要鑒別出最關(guān)鍵的威脅，發(fā)出附帶驗(yàn)證攻擊所需調(diào)查信息的少量實(shí)用警報(bào)。安全團(tuán)隊(duì)不應(yīng)該在分揀無窮無盡的警報(bào)和誤報(bào)上浪費(fèi)時間。只要確認(rèn)攻擊，就應(yīng)有原生工作流予以自動阻止，這樣才能最大可能地減少額外的人力付出。行為分析可以直接在警報(bào)源頭的應(yīng)用平臺上執(zhí)行防護(hù)操作，安全團(tuán)隊(duì)也就不用再耗人力與時間彌合各種操作了。
云交付
考慮部署的時候，云是行為分析最理想的交付機(jī)制。內(nèi)部基礎(chǔ)設(shè)施的部署和管理會持續(xù)不斷地增加IT運(yùn)營的復(fù)雜度，而且，更重要的是，這種做法提供不了頻繁推出安全創(chuàng)新所需的敏捷性和可擴(kuò)展性。而云卻可以：
提供極為經(jīng)濟(jì)的方式存儲行為分析所需的大量數(shù)據(jù);
快速高效地推送新算法并持續(xù)改進(jìn)其性能;
加速部署過程，免除維護(hù)或升級內(nèi)部軟件的需要。
行為分析是每家企業(yè)都值得考慮的強(qiáng)大工具，應(yīng)成為安全團(tuán)隊(duì)(不僅僅是IT)必備的一部分。安全團(tuán)隊(duì)一直在尋找高級攻擊發(fā)現(xiàn)和清除的新方法，但苦于無法在不添加新的基礎(chǔ)設(shè)施和人手的情況下引入新功能。將該技術(shù)作為集成了傳感器、執(zhí)行終端和分析服務(wù)的平臺的一部分進(jìn)行部署，可以實(shí)現(xiàn)自動化愿景又不引入額外的復(fù)雜性。