Índice:
- Definição - O que significa NBAD (Network Behavior Anomaly Detection)?
- Techopedia explica a detecção de anomalias de comportamento de rede (NBAD)
Definição - O que significa NBAD (Network Behavior Anomaly Detection)?
A detecção de anomalias de comportamento de rede (NBAD) é o monitoramento em tempo real de uma rede para qualquer atividade, tendência ou evento incomum. As ferramentas de detecção de anomalias de comportamento da rede são usadas como ferramentas adicionais de detecção de ameaças para monitorar as atividades da rede e gerar alertas gerais que geralmente exigem avaliação adicional pela equipe de TI.
Os sistemas têm a capacidade de detectar ameaças e interromper atividades suspeitas em situações em que o software de segurança tradicional é ineficaz. Além disso, as ferramentas sugerem quais atividades ou eventos suspeitos requerem análises adicionais.
Techopedia explica a detecção de anomalias de comportamento de rede (NBAD)
As ferramentas de detecção de anomalias de comportamento da rede são usadas em conjunto com os sistemas tradicionais de segurança de perímetro, como software antivírus, para fornecer um mecanismo de segurança adicional. No entanto, diferentemente do antivírus que protege a rede contra ameaças conhecidas, o NBAD verifica atividades suspeitas que provavelmente comprometam as operações da rede, infectando o sistema ou através do roubo de dados.
Ele monitora o tráfego de rede em busca de desvios do volume esperado de um parâmetro de rede medido, como pacotes, bytes, fluxo e uso de protocolo. Uma vez que uma atividade é suspeita de ameaça, são gerados os detalhes de um evento, incluindo os IPs do agressor e do alvo, a porta, o protocolo, a hora do ataque e muito mais.
As ferramentas usam uma combinação de métodos de detecção de assinatura e anomalia para verificar qualquer atividade incomum da rede e alertar os gerentes de segurança e rede, para que eles possam analisar a atividade e pará-la ou responder antes que uma ameaça afete o sistema e os dados.
Os três principais componentes do monitoramento do comportamento da rede são os padrões de fluxo de tráfego, os dados de desempenho da rede e a análise passiva de tráfego. Isso permite que uma organização detecte ameaças como:
- Comportamento inadequado da rede - As ferramentas detectam aplicativos não autorizados, atividade anormal da rede ou aplicativos que usam portas incomuns. Uma vez detectado, o sistema de proteção pode ser usado para identificar e desativar automaticamente a conta de usuário associada à atividade de rede.
- Exfiltração de dados - monitora os dados de comunicação de saída e dispara um alarme quando grandes quantidades suspeitas de transferência de dados são detectadas. O sistema pode identificar ainda mais o aplicativo de destino se for baseado na nuvem para determinar se é legítimo ou um caso de roubo de dados.
- Malwares ocultos - detecta malwares avançados que podem ter escapado à proteção de segurança do perímetro e se infiltrado na organização / rede corporativa.
