新的流預防技術，能夠實時收集、關聯并分析終端事件以檢測和阻止正在進行中的攻擊。

惡意攻擊越來越多地用起了非惡意軟件的方法。53%的攻擊已經不使用惡意軟件。而且，據估測，未來90天里，1/3的公司將面對非惡意軟件攻擊。由于現有反病毒(AV)技術，無論第一代還是采用機器學習的第二代，都幾乎只關注檢測釋放到終端的惡意文件，這種攻擊很有可能成功。

為對抗這種新攻擊方法，Carbon Black 在本月上旬發布了其新的“流預防( Streaming Prevention )”技術。該公司CTO麥克·維斯卡索解釋了這項新技術的工作原理及其必要性。

維斯卡索將標準AV描述為“現時”預防；并用NSA的一個例子進行了闡述。由于NSA兼具攻擊和防御兩項職責，其本身的工具會用標準防御解決方案進行測試。舉個例子，新的邁克菲產品發布，被NSA工具測試——成功攔截了這些工具中的一個。該工具會產生一個可以遠程操作的命令行shell。為繞過攔截，NSA操作員簡單地重命名了該shell，竟然就真的繞過了。

這里面的關鍵在于，大多數反惡意軟件產品都在找“點”，這些“點”通常就是文件。它們不去查找上下文中的行為。如果攻擊者根本不釋放這些可以被分析的文件，或者文件涉及到防御方案不能識別的某些東西，那么攻擊就能很容易地被放行。“近些年的很多大型數據泄露，雅虎、甲骨文和DNC，都是非惡意軟件攻擊的杰作。”

這種新的攻擊方法利用了操作系統的現有能力。它采用OS信任的工具，比如PowerShell和WMI，來進行暗黑活動。舉個例子，被控制的網站可會要求使用Flash，而Flash可被利用來運行PowerShell。PowerShell就會執行攻擊。這個過程中，沒有東西留給現有的反惡意軟件產品來檢測和預防。

反惡意軟件產品手段太單一。新文件放到電腦上時，反惡意軟件產品會進行掃描以確定該文件是惡意還是良性的。未免太過關注當下。但現實是，攻擊者越來越不愛使用惡意軟件。他們已經演進太多，但技術同樣在發展。我們正在利用其他行業里非常成功的新技術——事件流處理，來查看系統或過程乃至過程集的行為歷史。

Carbon Black 的流預防，已經超出了為算法交易設計的事件流處理。一個簡單的算法可以告訴交易員在某價格購入某只股票，而在某價格拋出。但如果整個市場都變了，這些現時指令可能就是很糟的建議了。該算法需要的，是對整個市場更深入的理解。

“它需要更多數據。”維斯卡索說道，“于是，被稱為事件流處理的技術出現了，消費海量數據點，擁有快速分析數據以做出正確決策的能力，還能進一步更新自身算法，在毫秒級周而復始地更新，可隨著時間流逝做出越來越好的決策。”

這就是流預防的基礎。它將機器學習和網絡異常檢測技術應用到了終端，檢查并標記惡意活動用到的TTP(戰術、技術和過程)，在上下文中分析它們。“該技術不斷從當下所見和歷史看到過的內容中學習，學會判斷特定序列的事件出現可能會導致數據泄露，然后將風險決策應用到該事件序列以確定是否是一次攻擊。隨時間推進，該風險決策會變得更加準確和敏銳，最終將學會如何預防所有非惡意軟件攻擊。”

流預防是云服務。分析動作在云端執行，分析結果推送到終端，供終端獨立動作。但數據要從所有客戶終端收集到云端。“然后結果由所有客戶共享，以便他們能擋住本地攻擊和其他地方發生的新攻擊。”于是，終端也可以對付惡意軟件和非惡意軟件攻擊了。

2016年10月，Carbon Black 宣布與IBM安全監理合作伙伴關系，讓其終端威脅數據饋送至IBM的BigFix以進行即時攻擊緩解。

作為一家公司，Carbon Black 擁有600多名員工，是Bit9在2014年與 Carbon Black 合并的結果。2016年10月，《華爾街日報》報道稱，Carbon Black 在《創業企業融資法案》( JOBS Act )規則下申請了保密IPO。