尽管难以准确测定，一些研究估计，约60%的入侵毫不涉及恶意软件。信息安全业内很多人对这60%的关注度都还太低了。

攻击者是怎么在不用任何恶意软件的情况下如此成功地侵入的呢？这个问题问得好！想要深入细致恰当地回答，还真得拿出点儿干货来。但从较高层次看，答案与这几年我们在信息安全界看到的一个趋势有关。

虽然攻击者依然经常使用恶意代码，他们已经越来越不依赖这些难以编写的东西了。入侵之路千万条，但攻击者似乎钟爱偷凭证、用合法工具、伪装合法用户这一条。结果表明，通过各种各样的技术，他们这条路走得真是万分轻松惬意。

信息安全社区无论从技术层面还是从运营层面都有许多可以切入的论述点。比如，采用层次化检测方法如何帮助公司跟上攻击者行为进化脚步，诸如此类。

从技术层面看，大量公司仅仅专注于打造更好的恶意软件陷阱这一现象就十分令人不解。这并不是说我们就不能继续改进围绕恶意代码的检测和预防能力。而是，即便某个技术在预防/检测恶意软件上100%有效(当然，这是不可能的)，它也解决问题的40%而已。

简单讲，无法揪出无恶意软件入侵的检测和预防技术，充其量就是部分有效的技术。如果是真空中不食人间烟火的技术，那就更是如此了。

从运营角度，那么多公司坚定不移地只追着恶意软件跑也很是令人惊讶。当然，预防勒索软件和对付各种各样恶意软件的需求是可以理解的，但是安全运营可不能终结在这一点上。毕竟，独专注恶意软件的安全运营，撑死也就能逮住40%的恶意活动。而最糟糕的的情况，这就是个对应担负的安全防御责任睁一只眼闭一只眼的失职团队。

当然，为仅关注恶意软件的短视行为哀叹谁都能做。但公司企业到底该怎样转向全盘视角，尤其是在检测方面涵盖全局呢？3层检测的方法或许会有所帮助。

回顾历史，当信息安全还是相对较新的行业时，我们基本上只有基于特征码的检测。见识到不同的攻击了，就为这些攻击赋上特征码，然后用这些特征码检测未来发生的同类攻击实例。这曾经是个极好的办法，但很快，我们就认识到，这种方法在很多方面都存在不足。首先，最重要也最明显的，基于特征码的检测只能检测出已知威胁。只要是以前没见过的新威胁，100%束手无策视而不见。其次，特征码缺乏上下文。这意味着，某个行为匹配了某个特征码，但换个上下文，就是误报了。而且，很不幸，基于特征码的检测方法从来不缺乏误报。

特征码检测确实在检出特定类型的攻击上很有价值，我们没有理由抛弃它。更准确地说，我们很快意识到的是，不仅不应该抛弃特征码检测，还应该用另一种检测方法予以增强——基于沙箱（引爆）的检测。该方法的概念挺符合逻辑：理解可执行文件真正意图的最佳方式就是执行它，切实查看它到底在干什么。并由此，挖出该可执行文件的真面目。

事实上，基于沙箱的检测早已是信息安全社区的巨大成功了。该方法的唯一问题在于，削弱了对其它类型入侵的关注，导致了对恶意软件某种程度上的短视性聚焦。沙箱在大幅提升检测能力上是个巨大的成功，也因此，将我们的注意力几乎全部拉向了该方法最适合检测的那类入侵——那些涉及恶意代码的入侵。

这也是引入第3层检测的意义所在——基于分析的检测。分析，其实是检测非恶意软件入侵的最佳方式。要做到这一点，查看网络上的行为是必需的，用户和系统账号，以及其他地方的行为都需要查看。比如说，员工合法使用给定账户与攻击者用同个账户意图从事恶意活动之间的差别。数据看起来根本是一样的。而且，TCP/IP包头里也不会有“意图位”这种东西。所以，要分辨出行为奇点，还真得有那么点儿足智多谋。

没错，分析在不同人眼里有着不同的含义。但对安全分析师来说，这就意味着对攻击者行为有着深入理解，并能得出准确的模型来识别匹配的行为。换句话说，分析不应该仅仅是找问题来解决的一堆花哨的数学公式。它应该专注攻击者行为，以检测攻击行为为引领。

我们不应该让当前基于沙箱检测的成功迷了眼睛，扰乱了我们面向未来的视野。年复一年，根本不涉及恶意软件的攻击占比只会越来越重。是时候将基于分析的检测编织进我们的安全项目中了，否则将跟不上威胁态势发展的脚步。