每次網(wǎng)絡(luò)攻擊看起來都比以前更加復(fù)雜，因此安全團(tuán)隊(duì)會(huì)讓我們相信。一般而言，違反行為可能很復(fù)雜，但是只有當(dāng)您嘗試重建攻擊的故事時(shí)，這種復(fù)雜性才會(huì)顯現(xiàn)出來，并且這種情況或故事情節(jié)很重要。這些復(fù)雜的故事情節(jié)通常始于公司系統(tǒng)的端點(diǎn)。

端點(diǎn)是員工可能在停車場(chǎng)發(fā)現(xiàn)USB設(shè)備的地方，他們好奇地知道其中有什么?；蛘?，某個(gè)員工打開了一封電子郵件中收到的惡意PDF附件?？梢钥匆幌掳l(fā)生大量攻擊的端點(diǎn)以獲取可見性。端點(diǎn)是可用的網(wǎng)絡(luò)和進(jìn)程活動(dòng)，甚至可以在其中進(jìn)行外部設(shè)備監(jiān)視。舉例來說，是誰(shuí)插入了那個(gè)USB，何時(shí)何地插入U(xiǎn)SB？

通過使用EPP（端點(diǎn)保護(hù)平臺(tái)），我們比以往有了更多的攻擊可見性：依靠病毒簽名但完全不了解基于內(nèi)存的惡意軟件，橫向移動(dòng)，無(wú)文件惡意軟件或零日攻擊的產(chǎn)品。

但這就是問題所在：EPP可以保護(hù)端點(diǎn)，但不能使組織看到威脅。第一代EDR（端點(diǎn)檢測(cè)和響應(yīng)）工具是對(duì)EPP根本不提供的可見性需求的副產(chǎn)品。另一方面，這一代EDR（我們稱為被動(dòng)EDR）為我們提供了數(shù)據(jù)，但沒有上下文。我們有難題的碎片，但沒有整體圖可以將它們?nèi)诤显谝黄稹?/p>

CISO的想法并不是對(duì)攻擊中每一個(gè)斷開的斷開數(shù)據(jù)的渴望。相反，它更像是一個(gè)線索游戲：客廳里的芥末上校嗎？有USB驅(qū)動(dòng)器的承包商？國(guó)家贊助的威脅組織？威脅是否已緩解？如果已緩解，威脅持續(xù)了多長(zhǎng)時(shí)間？哪些SOC的極少數(shù)分析師正在分析從其被動(dòng)EDR涌入的數(shù)據(jù)海嘯？

什么是行為AI，它如何提供幫助？

襲擊后會(huì)發(fā)生什么？故事有兩種方式，最有可能是您熟悉第一種嚴(yán)重問題的方式：即安全分析師必須篩選被動(dòng)EDR產(chǎn)生的所有警報(bào)和異常。這些調(diào)查需要時(shí)間和技巧：鑒于發(fā)現(xiàn)，訓(xùn)練和留住具備操作安全平臺(tái)專業(yè)知識(shí)的人員以及將小麥與谷殼分離的專業(yè)知識(shí)，從谷殼中分離出的真正剝削知識(shí)的人員非常困難，這是一種稀有商品。隨機(jī)的錯(cuò)誤。