Was ist die Erkennung von Netzwerkverhaltensanomalien?
Die Erkennung von Netzwerkanomalien (Network Behaviour Anomaly Detection, NBAD) ist eine Sicherheitstechnik, mit der ein Netzwerk auf Anzeichen ungewöhnlicher Aktivitäten überwacht wird. Diese Technik ist so konzipiert, dass sie mit mehreren Sicherheitsebenen harmoniert, um einen vollständigen Schutz zu gewährleisten, und wird mithilfe eines Computerprogramms durchgeführt, das das Netzwerk kontinuierlich überwacht. Zahlreiche Unternehmen stellen Programme zur Erkennung von Netzwerkanomalien in verschiedenen Umgebungen her.
Das Programm erstellt zunächst eine Baseline und betrachtet dabei das normale Netzwerk- und Benutzerverhalten. Mit diesen Informationen können Anomalien identifiziert werden, die auf eine Sicherheitsbedrohung hinweisen könnten. Zu den Sicherheitsbedrohungen zählen Viren und Würmer, die unbefugte Veröffentlichung vertraulicher Informationen und ähnliche Probleme. Die Erkennung von Anomalien im Netzwerkverhalten kann auch verwendet werden, um Verstöße gegen Nutzungsbedingungen zu identifizieren. In einem Hochschulnetzwerk kann beispielsweise das Herunterladen von urheberrechtlich geschütztem Material verboten sein, und das Programm kann Benutzer identifizieren, die große Datenmengen herunterladen, was darauf hindeuten könnte, dass sie sich an der Piraterie von Software, Musik oder Filmen beteiligen.
Ein Vorteil der Erkennung von Anomalien im Netzwerkverhalten besteht darin, dass mit ihr Zero-Day-Exploits behoben werden können. Zero-Day-Exploits treten auf, wenn ein Virus zum ersten Mal veröffentlicht wird oder wenn Personen zum ersten Mal eine Sicherheitslücke identifizieren. Am „Zero Day“ haben Antiviren- und Sicherheitssoftwareprogramme noch kein Profil identifiziert, mit dem solche Exploits verhindert werden könnten. Die Erkennung von Anomalien im Netzwerkverhalten muss jedoch nicht nach einem bestimmten Profil suchen, sondern sucht nur nach ungewöhnlichen Aktivitäten. Dies bedeutet, dass ein Virus identifiziert werden kann, bevor das Antivirenprogramm aktualisiert wurde.
Wenn ein Programm zur Erkennung von Anomalien im Netzwerkverhalten etwas feststellt, das es für ungewöhnlich hält, wird eine Warnung an einen Administrator gesendet. Der Administrator kann bestimmen, was gerade passiert, und entscheiden, ob Maßnahmen ergriffen werden sollen oder nicht. Ein Anstieg des ausgehenden Datenverkehrs kann beispielsweise auf das Hochladen eines großen Projekts auf einen externen Server zurückzuführen sein, sodass keine Maßnahmen erforderlich sind. Umgekehrt kann ein Computer, der plötzlich Tausende von E-Mails versendet, mit einem Virus infiziert sein, sodass Maßnahmen erforderlich sind, um den Rest des Netzwerks vor einer Infektion zu schützen.
Diese Sicherheitstechnik kann in Netzwerken aller Größen verwendet werden. Das Programm zur Erkennung von Netzwerkverhaltensanomalien kann normalerweise an die jeweiligen Anforderungen angepasst werden. Beispielsweise kann das Programm angewiesen werden, einen Computer von einem Netzwerk zu trennen, wenn offensichtliche Anzeichen von Sicherheitsproblemen oder Verstößen gegen die Nutzungsbedingungen vorliegen.