Obsah:
- Definice - Co znamená detekce anomálie chování v síti (NBAD)?
- Techopedia vysvětluje detekci anomálií v chování sítě (NBAD)
Definice - Co znamená detekce anomálie chování v síti (NBAD)?
Detekce anomálie chování v síti (NBAD) je monitorování sítě v reálném čase pro jakoukoli neobvyklou aktivitu, trendy nebo události. Nástroje detekce anomálie chování v síti se používají jako další nástroje detekce hrozeb ke sledování síťových aktivit a generování obecných výstrah, které často vyžadují další vyhodnocení týmem IT.
Systémy mají schopnost detekovat hrozby a zastavit podezřelé činnosti v situacích, kdy je tradiční bezpečnostní software neúčinný. Nástroje navíc naznačují, které podezřelé činnosti nebo události vyžadují další analýzu.
Techopedia vysvětluje detekci anomálií v chování sítě (NBAD)
Nástroje detekce anomálie chování v síti se používají ve spojení s tradičními perimetrickými zabezpečovacími systémy, jako je antivirový software, k zajištění dalšího bezpečnostního mechanismu. Na rozdíl od antiviru, který chrání síť před známými hrozbami, však NBAD kontroluje podezřelé činnosti, které pravděpodobně ohrožují provoz sítě buď infikováním systému nebo krádeží dat.
Monitoruje síťový provoz na případné odchylky od očekávaného objemu měřeného síťového parametru, jako jsou pakety, bajty, tok a využití protokolu. Jakmile je aktivita podezřelá z hrozby, vygenerují se podrobnosti události včetně pachatele a cílové IP, portu, protokolu, času útoku a dalších.
Nástroje používají kombinaci metod detekce podpisů a anomálií ke kontrole jakékoli neobvyklé síťové aktivity a upozorňují správce zabezpečení a sítě, aby mohli analyzovat aktivitu a zastavit ji nebo reagovat dříve, než hrozba ovlivní systém a data.
Tři hlavní součásti monitorování chování sítě jsou vzorce toků provozu, data výkonu sítě a pasivní analýza provozu. To umožňuje organizaci detekovat hrozby, jako například:
- Nevhodné chování v síti - Nástroje detekují neautorizované aplikace, neobvyklé síťové aktivity nebo aplikace využívající neobvyklé porty. Jakmile je systém ochrany detekován, může být použit k identifikaci a automatickému deaktivaci uživatelského účtu přidruženého k síťové aktivitě.
- Exfiltrace dat - Monitoruje odchozí komunikační data a spustí alarm, když je detekováno podezřelé velké množství přenosu dat. Systém by mohl dále identifikovat cílovou aplikaci, pokud je založen na cloudu, aby určil, zda je legitimní nebo v případě krádeže dat.
- Skrytý malware - Zjistí pokročilý malware, který se mohl vyhnout ochraně obvodového zabezpečení a pronikl do organizace / podnikové sítě.
