在網(wǎng)絡(luò)中建立橋頭堡后，攻擊者就會用獲取到的權(quán)限探測周邊環(huán)境，擴大控制范圍，達成最終目的：竊取、篡改或破壞敏感數(shù)據(jù)。他們會混在合法用戶中間潛入企業(yè)，在企業(yè)網(wǎng)絡(luò)中隱蔽行動數(shù)月乃至數(shù)年之久。

傳統(tǒng)攻擊檢測方法給安全團隊帶來了極大的人工操作負擔。企業(yè)往往不得不將多個終端產(chǎn)品的安全數(shù)據(jù)整合到一處，才能發(fā)現(xiàn)并阻止惡意行為。其結(jié)果就是安全防護陷入“救火隊”模式：大量警報產(chǎn)生，但缺乏控制威脅所需的上下文環(huán)境，分析師不得不耗費寶貴的時間精力去追尋額外信息，阻止惡意攻擊的使命反而遭到阻滯。
“救火隊”模式所需的專業(yè)技術(shù)和人力資源給企業(yè)帶來了很大負擔;而即便全部所需情報都收集到了，安全團隊也需要額外的資源和專業(yè)技能來分揀警報，然后才可以關(guān)聯(lián)、調(diào)查并阻止威脅。所以，很多團隊因其中牽涉的大量人力而不去做此類分析也就可以理解了。當然，這么做也就讓企業(yè)面臨了遭遇攻擊的風險。
行為分析和機器學習之類新興方法正是在這種情況下受到了企業(yè)的青睞。這些新興方法重新定義了隱藏安全事件檢測和網(wǎng)絡(luò)攻擊防護，未來會被更多的企業(yè)所采用。
不過，在購置部署之前，安全團隊需要考慮如何最大化行為分析服務的效能。
統(tǒng)一的安全數(shù)據(jù)集
行為分析服務需要來自正確位置的高品質(zhì)數(shù)據(jù)，理想化的是從云端獲得。傳感器需在云端、終端和網(wǎng)絡(luò)中都有部署，數(shù)據(jù)應收集到一個統(tǒng)一的數(shù)據(jù)集中以方便取用。數(shù)據(jù)不共享的獨立產(chǎn)品太多，是基本不可能構(gòu)建行為分析的，因為有可能大量時間都花在了規(guī)范數(shù)據(jù)而不是識別并阻止威脅上。安全團隊應考慮采用自帶跨平臺高品質(zhì)數(shù)據(jù)持續(xù)收集功能的行為分析服務。
原生工作流自動處理能力
行為分析的目的是識別高級攻擊、內(nèi)部人威脅和受感染終端，并在傷害造成之前予以阻止。行為分析的第一步，就是要鑒別出最關(guān)鍵的威脅，發(fā)出附帶驗證攻擊所需調(diào)查信息的少量實用警報。安全團隊不應該在分揀無窮無盡的警報和誤報上浪費時間。只要確認攻擊，就應有原生工作流予以自動阻止，這樣才能最大可能地減少額外的人力付出。行為分析可以直接在警報源頭的應用平臺上執(zhí)行防護操作，安全團隊也就不用再耗人力與時間彌合各種操作了。
云交付
考慮部署的時候，云是行為分析最理想的交付機制。內(nèi)部基礎(chǔ)設(shè)施的部署和管理會持續(xù)不斷地增加IT運營的復雜度，而且，更重要的是，這種做法提供不了頻繁推出安全創(chuàng)新所需的敏捷性和可擴展性。而云卻可以：
提供極為經(jīng)濟的方式存儲行為分析所需的大量數(shù)據(jù);
快速高效地推送新算法并持續(xù)改進其性能;
加速部署過程，免除維護或升級內(nèi)部軟件的需要。
行為分析是每家企業(yè)都值得考慮的強大工具，應成為安全團隊(不僅僅是IT)必備的一部分。安全團隊一直在尋找高級攻擊發(fā)現(xiàn)和清除的新方法，但苦于無法在不添加新的基礎(chǔ)設(shè)施和人手的情況下引入新功能。將該技術(shù)作為集成了傳感器、執(zhí)行終端和分析服務的平臺的一部分進行部署，可以實現(xiàn)自動化愿景又不引入額外的復雜性。