Ce este detectarea anomaliei comportamentului de rețea (nbad)? - definiție din techopedia

Definiție - Ce înseamnă detectarea anomaliilor de comportament în rețea (NBAD)?

Detectarea anomaliei comportamentului de rețea (NBAD) este monitorizarea în timp real a unei rețele pentru orice activitate, tendințe sau evenimente neobișnuite. Instrumentele de detectare a anomaliei comportamentului de rețea sunt utilizate ca instrumente suplimentare de detectare a amenințărilor pentru a monitoriza activitățile rețelei și a genera alerte generale care deseori necesită o evaluare suplimentară de către echipa IT.

Sistemele au capacitatea de a detecta amenințările și de a opri activitățile suspecte în situațiile în care software-ul de securitate tradițional este ineficient. În plus, instrumentele sugerează ce activități sau evenimente suspecte necesită o analiză suplimentară.

Techopedia explică detectarea anomaliei comportamentului rețelei (NBAD)

Instrumentele de detectare a anomaliei comportamentului de rețea sunt utilizate împreună cu sistemele tradiționale de securitate perimetrale, precum software antivirus, pentru a oferi un mecanism suplimentar de securitate. Cu toate acestea, spre deosebire de antivirusul care protejează rețeaua împotriva amenințărilor cunoscute, NBAD verifică activitățile suspecte care pot compromite operațiunile rețelei fie prin infectarea sistemului, fie prin furtul de date.

Monitorizează traficul de rețea pentru eventuale abateri de la volumul preconizat al unui parametru de rețea măsurat, cum ar fi pachetele, octeții, fluxul și utilizarea protocolului. Odată ce o activitate este suspectată a fi o amenințare, sunt generate detalii ale unui eveniment, inclusiv IP-ul infractorului și ținta, portul, protocolul, timpul de atac și multe altele.

Instrumentele folosesc o combinație de metode de detectare a semnăturii și anomaliei pentru a verifica orice activitate neobișnuită a rețelei și a alerta managerii de securitate și rețea, astfel încât să poată analiza activitatea și să o oprească sau să răspundă înainte ca o amenințare să afecteze sistemul și datele.

Cele trei componente majore ale monitorizării comportamentului rețelei sunt modelele fluxului de trafic, datele privind performanța rețelei și analiza pasivă a traficului. Aceasta permite unei organizații să detecteze amenințări precum:

• Comportament de rețea necorespunzător - Instrumentele detectează aplicații neautorizate, activitate anomală în rețea sau aplicații care utilizează porturi neobișnuite. Odată detectat, sistemul de protecție poate fi utilizat pentru a identifica și dezactiva automat contul de utilizator asociat cu activitatea rețelei.
• Exfiltrare de date - Monitorizează datele de comunicare de ieșire și declanșează o alarmă atunci când sunt detectate cantități suspecte mari de transfer de date. Sistemul ar putea identifica în continuare aplicația de destinație dacă se bazează pe cloud pentru a determina dacă este legitim sau un caz de furt de date.
• Malware ascuns - Detectează malware avansat care poate fi evadat protecția perimetrului de securitate și s-a infiltrat în organizație / rețeaua corporativă.