Есть цель? Иди к ней!
Не получается? Ползи к ней!
Не можешь? Ляг и лежи в ее направлении!
Уже писал об оперативности обнаружения, однако, заметна потребность в более системном объяснении, попробую здесь.
Любую атаку хочется предвидеть и предотвратить. Если не получилось предотвратить, то минимизировать ущерб. Минимизировать ущерб можно пытаясь обнаружить успешную атаку как можно раньше и прервать "работу" ребят, пока атакующий не достиг своих целей полностью. Если брать во внимание целевые атаки, планируемые с учетом используемых у Цели средств безопасности, а, следовательно, успешно их обходящие, и выполняемые людьми, и поэтому крайне проблематичны для обезвреживания исключительно автоматическими средствами, то такие атаки гарантировано будут пропущены. И здесь мы как раз попадаем на тот случай, когда предотвратить не получилось и надо обнаружить, расследовать и почиститься. Для достижения этих целей и служит TH, который включается уже после взлома. Поскольку любая атака - это трата ресурсов, а тратить ресурсы впустую - глупо, и атакующие это понимают, постепенно сбывается то, что писал: "в перспективе нас ожидают исключительно таргетированные атаки". Как следствие - повышенное внимание к TH, как подходу, эффективно работающему после взлома.
Ну а что же работает до взлома? Как прежде - все те же автоматические превентивные меры: IPS-ы, WAF-ы, антивирусы и пр. И, если у них не получилось, включается ТН. Печальная очевидная правда в том, что для того, чтобы отличить плохое поведение от хорошего, нужно чтобы это поведение случилось, т.е. придется
Закончить этот короткий пост хочется очередной ассоциативной картинкой о до и после взлома, показывающей, что успех - не в чем-то одном, но в совокупности эффективно взаимно дополняющих подходов, хорошо работающих на разных этапах (в общем, как и с детектом).
