什麼是行為分析？

哪些行為會透露惡意活動的跡象？

發生在不尋常時機的事件、動作順序異常，或是資料移動量增加，皆可視為環境中潛藏惡意活動的徵兆。下方提供的非正常行為範例，有助於識別是否有任何攻擊正伺機行動。

• 在看似合法的檔案內，有個連結會載入至記憶體中，然後遠端載入指令碼，以找出機密資料並將其傳回給攻擊者。
  
  
• 已安裝的應用程式 (例如 Microsoft Word、Flash、Adobe PDF Reader、網頁瀏覽器或 JavaScript) 被植入惡意程式碼，旨在鎖定弱點並執行惡意程式碼。
  
  
• 通常視為高度可信的原生系統工具 (例如 Microsoft Windows Management Instrumentation (WMI) 和 Microsoft PowerShell 指令碼語言) 遭到鎖定，以遠端執行指令碼。

產業脈動：行為分析已成為「必備要項」

SANS Institute 在 2016 年初發表了一份《使用分析技術來預測後續的攻擊和漏洞》(Using Analytics to Predict Future Attacks and Breaches) 白皮書，以說明行為分析的重要性。作者於結論中指出：「運用更先進的資料分析平台來導入更多不同類型的資料、著重日益提升的網路威脅能見度，以及將偵測和回應動作自動化，將有助於協助現行和未來的安全性團隊因應各項挑戰。」

當年提到的未來已近在眼前，在 2018 年，行為分析已成為進階端點安全性的基本需求之一。事實上，Gartner 公司也在《端點保護平台魔力象限評比》(Magic Quadrant for Endpoint Protection Platform) 報告中，將機器學習和行為監控列入遠見卓識者和領導者應具備的優勢。此外，該報告也指出：「在 2018 年和 2019 年奪得最具遠見卓識和領導能力的廠商，勢必將使用其 [端點偵測與回應] 功能所收集的資料，為其客戶提供可行的指引和建議。」

在 2017 年發生的漏洞中，17% 皆源自於人為錯誤 (相對於刻意的惡意意圖)。

解決之道：一切盡在雲端中

若要充分發揮行為分析的潛力，公司勢必得善加運用雲端及其強大的運算威力、無窮盡的延展性，以及管理簡易性。雲端能提供主動式方法，以結合巨量資料和強大的分析技術，進而防範最新且最具威脅性的新興攻擊。

舉例來說，雲端可進行串流分析來監控正常和異常端點活動，並與任何未篩選的歷史端點資料進行比較。雲端能分析這些事件流量，並將其與看似正常的事件進行比較，藉此建立全域的威脅監控系統，除了可偵測攻擊，還會預測過去未曾看過的攻擊。

這個強大方法所實現的效益，僅限新一代防毒 (NGAV) 軟體；而以簽章為基礎的傳統防毒解決方案，則完全無法提供。

新一代防毒軟體能與端點進行雙向通訊，因此所有未篩選的單點資料都會遭到監控，並轉換成預測性分析，繼而主動防範公司遭受計畫周詳的攻擊。

另外，雲端也具備多數公司透過其他企業軟體所取得的基礎架構優勢：簡化、降低作業成本、加快部署速度，以及最新且最創新的技術。