盡管難以準確測定，一些研究估計，約60%的入侵毫不涉及惡意軟件。信息安全業內很多人對這60%的關注度都還太低了。

攻擊者是怎么在不用任何惡意軟件的情況下如此成功地侵入的呢？這個問題問得好！想要深入細致恰當地回答，還真得拿出點兒干貨來。但從較高層次看，答案與這幾年我們在信息安全界看到的一個趨勢有關。

雖然攻擊者依然經常使用惡意代碼，他們已經越來越不依賴這些難以編寫的東西了。入侵之路千萬條，但攻擊者似乎鐘愛偷憑證、用合法工具、偽裝合法用戶這一條。結果表明，通過各種各樣的技術，他們這條路走得真是萬分輕松愜意。

信息安全社區無論從技術層面還是從運營層面都有許多可以切入的論述點。比如，采用層次化檢測方法如何幫助公司跟上攻擊者行為進化腳步，諸如此類。

從技術層面看，大量公司僅僅專注于打造更好的惡意軟件陷阱這一現象就十分令人不解。這并不是說我們就不能繼續改進圍繞惡意代碼的檢測和預防能力。而是，即便某個技術在預防/檢測惡意軟件上100%有效(當然，這是不可能的)，它也解決問題的40%而已。

簡單講，無法揪出無惡意軟件入侵的檢測和預防技術，充其量就是部分有效的技術。如果是真空中不食人間煙火的技術，那就更是如此了。

從運營角度，那么多公司堅定不移地只追著惡意軟件跑也很是令人驚訝。當然，預防勒索軟件和對付各種各樣惡意軟件的需求是可以理解的，但是安全運營可不能終結在這一點上。畢竟，獨專注惡意軟件的安全運營，撐死也就能逮住40%的惡意活動。而最糟糕的的情況，這就是個對應擔負的安全防御責任睜一只眼閉一只眼的失職團隊。

當然，為僅關注惡意軟件的短視行為哀嘆誰都能做。但公司企業到底該怎樣轉向全盤視角，尤其是在檢測方面涵蓋全局呢？3層檢測的方法或許會有所幫助。

回顧歷史，當信息安全還是相對較新的行業時，我們基本上只有基于特征碼的檢測。見識到不同的攻擊了，就為這些攻擊賦上特征碼，然后用這些特征碼檢測未來發生的同類攻擊實例。這曾經是個極好的辦法，但很快，我們就認識到，這種方法在很多方面都存在不足。首先，最重要也最明顯的，基于特征碼的檢測只能檢測出已知威脅。只要是以前沒見過的新威脅，100%束手無策視而不見。其次，特征碼缺乏上下文。這意味著，某個行為匹配了某個特征碼，但換個上下文，就是誤報了。而且，很不幸，基于特征碼的檢測方法從來不缺乏誤報。

特征碼檢測確實在檢出特定類型的攻擊上很有價值，我們沒有理由拋棄它。更準確地說，我們很快意識到的是，不僅不應該拋棄特征碼檢測，還應該用另一種檢測方法予以增強——基于沙箱（引爆）的檢測。該方法的概念挺符合邏輯：理解可執行文件真正意圖的最佳方式就是執行它，切實查看它到底在干什么。并由此，挖出該可執行文件的真面目。

事實上，基于沙箱的檢測早已是信息安全社區的巨大成功了。該方法的唯一問題在于，削弱了對其它類型入侵的關注，導致了對惡意軟件某種程度上的短視性聚焦。沙箱在大幅提升檢測能力上是個巨大的成功，也因此，將我們的注意力幾乎全部拉向了該方法最適合檢測的那類入侵——那些涉及惡意代碼的入侵。

這也是引入第3層檢測的意義所在——基于分析的檢測。分析，其實是檢測非惡意軟件入侵的最佳方式。要做到這一點，查看網絡上的行為是必需的，用戶和系統賬號，以及其他地方的行為都需要查看。比如說，員工合法使用給定賬戶與攻擊者用同個賬戶意圖從事惡意活動之間的差別。數據看起來根本是一樣的。而且，TCP/IP包頭里也不會有“意圖位”這種東西。所以，要分辨出行為奇點，還真得有那么點兒足智多謀。

沒錯，分析在不同人眼里有著不同的含義。但對安全分析師來說，這就意味著對攻擊者行為有著深入理解，并能得出準確的模型來識別匹配的行為。換句話說，分析不應該僅僅是找問題來解決的一堆花哨的數學公式。它應該專注攻擊者行為，以檢測攻擊行為為引領。

我們不應該讓當前基于沙箱檢測的成功迷了眼睛，擾亂了我們面向未來的視野。年復一年，根本不涉及惡意軟件的攻擊占比只會越來越重。是時候將基于分析的檢測編織進我們的安全項目中了，否則將跟不上威脅態勢發展的腳步。