Hvad er netværksadfærdsanomalidetektion?
Netadfærd anomali detektion (NBAD) er en sikkerhedsteknik, der bruges til at overvåge et netværk for tegn på usædvanlig aktivitet. Denne teknik er designet til at svale hale med flere lag af sikkerhed for at give fuld beskyttelse, og den udføres ved hjælp af et computerprogram, der overvåger netværket kontinuerligt. Adskillige virksomheder laver programmer designet til opdagelse af anomalier i netværksadfærd i forskellige indstillinger.
Programmet opretter først en baseline, der ser på normal netværks- og brugeradfærd. Med disse oplysninger kan det begynde at identificere anomalier, der kan indikere en sikkerhedstrussel. Sikkerhedstrusler kan omfatte vira og orme, uautoriseret frigivelse af følsomme oplysninger og lignende problemer. Afvælgelse af anomalier i netværksadfærd kan også bruges til at identificere vilkår for brud på brugen. På et universitetsnetværk kan det for eksempel være forbudt at downloade ophavsretligt beskyttet materiale, og programmet kan identificere brugere, der downloader store mængder data, hvilket kan synes at antyde, at de beskæftiger sig med piratkopiering af software, musik eller film.
En fordel ved opdagelse af anomalier i netværksadfærd er, at den kan bruges til at tackle nul-dages udnyttelse. Nul dagers udnyttelse opstår, når en virus først frigives, eller når folk først identificerer et sikkerhedshul. På "nul-dagen" har anti-virus- og sikkerhedssoftwareprogrammer endnu ikke identificeret en profil, der kan bruges til at forhindre sådanne udnyttelser. Afvælgelse af anomalier i netværksadfærd behøver dog ikke kigge efter en bestemt profil, det ser bare efter usædvanlig aktivitet, hvilket betyder, at den kan identificere noget som en virus, før antivirusprogrammet er blevet opdateret.
Når et program for afvigelse af anomalier for netværksadfærd identificerer noget, som det synes er usædvanligt, sender det en advarsel til en administrator. Administratoren kan bestemme, hvad der foregår, og beslutte, om den skal gribe ind eller ej. F.eks. Kan en uptick i udgående trafik være resultatet af upload af et stort projekt til en ekstern server, hvilket betyder, at der ikke skal gøres noget. Omvendt kan en computer, der pludselig sender tusinder af e-mails, blive inficeret med en virus, hvilket gør det nødvendigt med en handling for at beskytte resten af netværket mod infektion.
Denne sikkerhedsteknik kan bruges på netværk i alle størrelser. Programmet, der bruges til at udføre netværksadfærd anomalieretektion, kan normalt tilpasses til at imødekomme særlige behov. For eksempel kan programmet få besked om at afbryde en computer fra et netværk, hvis det viser åbenlyse tegn på sikkerhedsproblemer eller brud på betingelserne for brug.