暗号化は、脅威アクターによる回避や難読化の手段として利用される可能性があるため、セキュリティ監視において課題となっています。暗号化により、セキュリティデバイスがネットワークトラフィックのコンテンツやペイロードを検査できなくなるため、悪意のあるアクティビティやシグネチャの検出が困難になります。また、トラフィックの送信元と送信先が隠蔽されるため、攻撃の発信元や送信先の追跡が困難になります。参考：https://learningnetworkstore.cisco.com/on-demand-e-learning/understanding-cisco-cybersecurity-operations-fundamentals-cbrops-v1-0/CSCU-LP-CBROPS-V1-028093.html（モジュール4、レッスン4.1.1）

* ルールベースの検出システムは、事前に定義されたパターンとシグネチャを使用して既知の脅威を識別します。これらのパターンは、攻撃手法と脆弱性に関する事前の知識に基づいています。
* 一方、行動検知システムは、ネットワークまたはシステムの通常の動作を分析してベースラインを確立します。そして、このベースラインからの逸脱を監視し、潜在的な脅威の可能性を示唆します。
* ルールベースのシステムは既知の脅威の検出には効果的ですが、既存のシグネチャと一致しない新しい攻撃やゼロデイ攻撃には対応できない場合があります。
* 行動システムは、異常なアクティビティを認識することで未知の脅威を検出できるため、ゼロデイ攻撃やその他の高度な攻撃の特定に役立ちます。
参考文献
* IDSにおけるルールベースと行動検出方法の比較
* ネットワークセキュリティにおける行動分析の利点
* サイバーセキュリティ検出技術

* 攻撃の兆候 (IoA) とは、セキュリティ侵害または進行中の攻撃を示唆する観察可能な動作またはアーティファクトを指します。
* 内部ホストが業務範囲外の国と通信する場合、データの流出または外部の脅威アクターへのコマンドアンドコントロール通信を示している可能性があります。
* システムがすでに侵害されていることを示す侵害の兆候 (IoC) とは異なり、IoA は悪意のあるアクティビティを初期段階で特定するために使用されることがよくあります。
* 異常な送信接続を監視することは、高度な持続的脅威 (APT) やその他の高度な攻撃を検出する上で重要な要素です。
参考文献
* 侵害の兆候と攻撃の兆候の違い
* 攻撃の兆候を用いたサイバー脅威の検出
* 異常な動作のネットワーク監視

脅威とは、資産に対する潜在的な危険のことです。脆弱性が存在するものの、まだ悪用されていない場合、あるいはさらに重要なことに、まだ公に知られていない場合、その脅威は潜在的であり、まだ認識されていません。