在網絡中建立橋頭堡后，攻擊者就會用獲取到的權限探測周邊環境，擴大控制范圍，達成最終目的：竊取、篡改或破壞敏感數據。他們會混在合法用戶中間潛入企業，在企業網絡中隱蔽行動數月乃至數年之久。

[[220007]]

傳統攻擊檢測方法給安全團隊帶來了極大的人工操作負擔。企業往往不得不將多個終端產品的安全數據整合到一處，才能發現并阻止惡意行為。其結果就是安全防護陷入“救火隊”模式：大量警報產生，但缺乏控制威脅所需的上下文環境，分析師不得不耗費寶貴的時間精力去追尋額外信息，阻止惡意攻擊的使命反而遭到阻滯。

“救火隊”模式所需的專業技術和人力資源給企業帶來了很大負擔;而即便全部所需情報都收集到了，安全團隊也需要額外的資源和專業技能來分揀警報，然后才可以關聯、調查并阻止威脅。所以，很多團隊因其中牽涉的大量人力而不去做此類分析也就可以理解了。當然，這么做也就讓企業面臨了遭遇攻擊的風險。

行為分析和機器學習之類新興方法正是在這種情況下受到了企業的青睞。這些新興方法重新定義了隱藏安全事件檢測和網絡攻擊防護，未來會被更多的企業所采用。

不過，在購置部署之前，安全團隊需要考慮如何最大化行為分析服務的效能。

統一的安全數據集

行為分析服務需要來自正確位置的高品質數據，理想化的是從云端獲得。傳感器需在云端、終端和網絡中都有部署，數據應收集到一個統一的數據集中以方便取用。數據不共享的獨立產品太多，是基本不可能構建行為分析的，因為有可能大量時間都花在了規范數據而不是識別并阻止威脅上。安全團隊應考慮采用自帶跨平臺高品質數據持續收集功能的行為分析服務。

原生工作流自動處理能力

行為分析的目的是識別高級攻擊、內部人威脅和受感染終端，并在傷害造成之前予以阻止。行為分析的第一步，就是要鑒別出最關鍵的威脅，發出附帶驗證攻擊所需調查信息的少量實用警報。安全團隊不應該在分揀無窮無盡的警報和誤報上浪費時間。只要確認攻擊，就應有原生工作流予以自動阻止，這樣才能最大可能地減少額外的人力付出。行為分析可以直接在警報源頭的應用平臺上執行防護操作，安全團隊也就不用再耗人力與時間彌合各種操作了。

云交付

考慮部署的時候，云是行為分析最理想的交付機制。內部基礎設施的部署和管理會持續不斷地增加IT運營的復雜度，而且，更重要的是，這種做法提供不了頻繁推出安全創新所需的敏捷性和可擴展性。而云卻可以：

• 提供極為經濟的方式存儲行為分析所需的大量數據;
• 快速高效地推送新算法并持續改進其性能;
• 加速部署過程，免除維護或升級內部軟件的需要。

行為分析是每家企業都值得考慮的強大工具，應成為安全團隊(不僅僅是IT)必備的一部分。安全團隊一直在尋找高級攻擊發現和清除的新方法，但苦于無法在不添加新的基礎設施和人手的情況下引入新功能。將該技術作為集成了傳感器、執行終端和分析服務的平臺的一部分進行部署，可以實現自動化愿景又不引入額外的復雜性。