传统的安全方法提供了阻止已知恶意活动的控制，通常在遭受攻击后还伴随有后续的调查，更复杂的企业会部署一些诸如沙箱的技术来检测和阻止以前未被发现的攻击，在遭到攻击和破坏后，安全团队往往会重视事件本身，但并没有从攻击者获得更多情报，或者分析与之有关的事件，这些方法可能会遗漏高级攻击的一个基本事实，这些攻击并不是某个时点的活动，而是一系列可以...。