在網絡中建立橋頭堡后，攻擊者就會用獲取到的權限探測周邊環(huán)境，擴大控制范圍，達成最終目的：竊取、篡改或破壞敏感數據。他們會混在合法用戶中間潛入企業(yè)，在企業(yè)網絡中隱蔽行動數月乃至數年之久。

傳統攻擊檢測方法給安全團隊帶來了極大的人工操作負擔。企業(yè)往往不得不將多個終端產品的安全數據整合到一處，才能發(fā)現并阻止惡意行為。其結果就是安全防護陷入“救火隊”模式：大量警報產生，但缺乏控制威脅所需的上下文環(huán)境，分析師不得不耗費寶貴的時間精力去追尋額外信息，阻止惡意攻擊的使命反而遭到阻滯。
“救火隊”模式所需的專業(yè)技術和人力資源給企業(yè)帶來了很大負擔;而即便全部所需情報都收集到了，安全團隊也需要額外的資源和專業(yè)技能來分揀警報，然后才可以關聯、調查并阻止威脅。所以，很多團隊因其中牽涉的大量人力而不去做此類分析也就可以理解了。當然，這么做也就讓企業(yè)面臨了遭遇攻擊的風險。
行為分析和機器學習之類新興方法正是在這種情況下受到了企業(yè)的青睞。這些新興方法重新定義了隱藏安全事件檢測和網絡攻擊防護，未來會被更多的企業(yè)所采用。
不過，在購置部署之前，安全團隊需要考慮如何最大化行為分析服務的效能。
統一的安全數據集
行為分析服務需要來自正確位置的高品質數據，理想化的是從云端獲得。傳感器需在云端、終端和網絡中都有部署，數據應收集到一個統一的數據集中以方便取用。數據不共享的獨立產品太多，是基本不可能構建行為分析的，因為有可能大量時間都花在了規(guī)范數據而不是識別并阻止威脅上。安全團隊應考慮采用自帶跨平臺高品質數據持續(xù)收集功能的行為分析服務。
原生工作流自動處理能力
行為分析的目的是識別高級攻擊、內部人威脅和受感染終端，并在傷害造成之前予以阻止。行為分析的第一步，就是要鑒別出最關鍵的威脅，發(fā)出附帶驗證攻擊所需調查信息的少量實用警報。安全團隊不應該在分揀無窮無盡的警報和誤報上浪費時間。只要確認攻擊，就應有原生工作流予以自動阻止，這樣才能最大可能地減少額外的人力付出。行為分析可以直接在警報源頭的應用平臺上執(zhí)行防護操作，安全團隊也就不用再耗人力與時間彌合各種操作了。
云交付
考慮部署的時候，云是行為分析最理想的交付機制。內部基礎設施的部署和管理會持續(xù)不斷地增加IT運營的復雜度，而且，更重要的是，這種做法提供不了頻繁推出安全創(chuàng)新所需的敏捷性和可擴展性。而云卻可以：
提供極為經濟的方式存儲行為分析所需的大量數據;
快速高效地推送新算法并持續(xù)改進其性能;
加速部署過程，免除維護或升級內部軟件的需要。
行為分析是每家企業(yè)都值得考慮的強大工具，應成為安全團隊(不僅僅是IT)必備的一部分。安全團隊一直在尋找高級攻擊發(fā)現和清除的新方法，但苦于無法在不添加新的基礎設施和人手的情況下引入新功能。將該技術作為集成了傳感器、執(zhí)行終端和分析服務的平臺的一部分進行部署，可以實現自動化愿景又不引入額外的復雜性。