Co je detekce anomálie chování v síti?
Detekce anomálie chování v síti (NBAD) je bezpečnostní technika používaná ke sledování sítě na známky neobvyklé činnosti. Tato technika je navržena tak, aby se spojila s více vrstvami zabezpečení, aby byla zajištěna úplná ochrana, a je dosaženo pomocí počítačového programu, který nepřetržitě monitoruje síť. Četné společnosti vytvářejí programy určené k detekci anomálií chování v síti v různých nastaveních.
Program nejprve stanoví základní linii, při pohledu na normální chování sítě a uživatele. Na základě těchto informací může začít identifikovat anomálie, které by mohly naznačovat bezpečnostní hrozbu. Bezpečnostní hrozby mohou zahrnovat viry a červy, neoprávněné zveřejnění citlivých informací a podobné problémy. Detekci anomálie chování v síti lze také použít k identifikaci podmínek použití. Na univerzitní síti může být například zakázáno stahování materiálů chráněných autorskými právy a program může identifikovat uživatele, kteří stahují velké množství dat, což by mohlo naznačovat, že se zabývají pirátstvím softwaru, hudby nebo filmu.
Jednou z výhod detekce anomálie chování v síti je to, že ji lze použít k řešení zneužití nultého dne. K nulovým zneužitím dochází, když je virus poprvé vydán nebo když lidé poprvé identifikují bezpečnostní díru. V „nulový den“ antivirové a bezpečnostní softwarové programy dosud neidentifikovaly profil, který by mohl být použit k zabránění takovým zneužitím. Detekce anomálie chování v síti však nemusí hledat konkrétní profil, pouze hledá neobvyklou aktivitu, což znamená, že dokáže před aktualizací antivirového programu identifikovat něco jako virus.
Pokud program detekce anomálie chování v síti identifikuje něco, co považuje za neobvyklé, odešle výstrahu správci. Správce může určit, co se děje, a rozhodnout, zda podniknout kroky. Například nárůst v odchozím provozu může být výsledkem nahrání velkého projektu na externí server, což znamená, že není třeba podnikat žádné kroky. Naopak, počítač náhle odesílající tisíce e-mailů by mohl být infikován virem, což vyžaduje akci, která chrání zbytek sítě před infekcí.
Tuto bezpečnostní techniku lze použít v sítích všech velikostí. Program používaný k detekci anomálií chování v síti lze obvykle přizpůsobit konkrétním potřebám. Program může být například vyzván, aby odpojil počítač od sítě, pokud vykazuje zjevné známky bezpečnostních problémů nebo porušení podmínek používání.