Casa Sicurezza Che cos'è il rilevamento anomalie del comportamento di rete (nbad)? - definizione da techopedia

Che cos'è il rilevamento anomalie del comportamento di rete (nbad)? - definizione da techopedia

Sommario:

Anonim

Definizione - Cosa significa Network Behaviour Anomaly Detection (NBAD)?

Il rilevamento delle anomalie del comportamento di rete (NBAD) è il monitoraggio in tempo reale di una rete per eventuali attività, tendenze o eventi insoliti. Gli strumenti di rilevamento delle anomalie del comportamento di rete vengono utilizzati come strumenti di rilevamento delle minacce aggiuntivi per monitorare le attività di rete e generare avvisi generali che spesso richiedono un'ulteriore valutazione da parte del team IT.

I sistemi hanno la capacità di rilevare minacce e bloccare attività sospette in situazioni in cui il software di sicurezza tradizionale è inefficace. Inoltre, gli strumenti suggeriscono quali attività o eventi sospetti richiedono ulteriori analisi.

Techopedia spiega Network Behaviour Anomaly Detection (NBAD)

Gli strumenti di rilevamento delle anomalie del comportamento della rete vengono utilizzati insieme ai tradizionali sistemi di sicurezza perimetrale, come i software antivirus, per fornire un meccanismo di sicurezza aggiuntivo. Tuttavia, a differenza dell'antivirus che protegge la rete da minacce note, NBAD verifica attività sospette che potrebbero compromettere le operazioni della rete infettando il sistema o attraverso il furto di dati.

Monitora il traffico di rete per eventuali deviazioni dal volume atteso di un parametro di rete misurato come pacchetti, byte, flusso e utilizzo del protocollo. Una volta che si sospetta che un'attività sia una minaccia, vengono generati i dettagli di un evento tra cui l'IP offensivo e di destinazione, la porta, il protocollo, il tempo di attacco e altro ancora.

Gli strumenti utilizzano una combinazione di metodi di rilevamento di firma e anomalie per verificare eventuali attività insolite della rete e avvisare i responsabili della sicurezza e della rete in modo che possano analizzare l'attività e interromperla o rispondere prima che una minaccia influisca sul sistema e sui dati.

Le tre componenti principali del monitoraggio del comportamento della rete sono i modelli di flusso del traffico, i dati sulle prestazioni della rete e l'analisi del traffico passivo. Ciò consente a un'organizzazione di rilevare minacce quali:

  • Comportamento inappropriato della rete: gli strumenti rilevano applicazioni non autorizzate, attività di rete anomale o applicazioni che utilizzano porte insolite. Una volta rilevato, il sistema di protezione può essere utilizzato per identificare e disabilitare automaticamente l'account utente associato all'attività di rete.
  • Esfiltrazione dei dati: monitora i dati delle comunicazioni in uscita e attiva un allarme quando vengono rilevate quantità sospette di trasferimento di dati. Il sistema potrebbe identificare ulteriormente l'applicazione di destinazione se basata su cloud per determinare se è legittima o in caso di furto di dati.
  • Malware nascosto: rileva malware avanzati che potrebbero aver eluso la protezione della sicurezza perimetrale e infiltrarsi nella rete aziendale / aziendale.
Che cos'è il rilevamento anomalie del comportamento di rete (nbad)? - definizione da techopedia