¿Qué es la detección de anomalías de comportamiento de red?

La detección de anomalías de comportamiento de la red (NBAD) es una técnica de seguridad utilizada para monitorear una red para obtener signos de actividad inusual. Esta técnica está diseñada para colocar múltiples capas de seguridad para proporcionar protección completa, y se logra con el uso de un programa de computadora que monitorea la red de forma continua. Numerosas empresas hacen programas diseñados para la detección de anomalías de comportamiento de red en varios entornos.

El programa primero establece una línea de base, observando el comportamiento normal de la red y el usuario. Con esta información, puede comenzar a identificar anomalías que podrían indicar una amenaza de seguridad. Las amenazas de seguridad podrían incluir virus y gusanos, la liberación no autorizada de información confidencial y problemas similares. La detección de anomalías de comportamiento de la red también se puede utilizar para identificar los términos de violaciones de uso. En una red universitaria, por ejemplo, la descarga de material con derechos de autor puede estar prohibida, y el programa puede identificar a los usuarios que están descargando gran cantidads de datos, que pueden sugerir que se están involucrando en la piratería de software, música o película.

Una ventaja para la detección de anomalías de comportamiento de red es que se puede usar para abordar las exploits de cero días. Los exploits de cero días se producen cuando se libera un virus por primera vez o cuando las personas identifican por primera vez un orificio de seguridad. En el "día cero", los programas antivirus y software de seguridad aún no han identificado un perfil que podría usarse para evitar tales exploits. La detección de anomalías de comportamiento de la red, sin embargo, no tiene que buscar un perfil en particular, solo busca una actividad inusual, lo que significa que puede identificar algo como un virus antes de que se haya actualizado el programa antivirus.

Cuando un programa de detección de anomalías de comportamiento de red identifica algo que cree que es inusual, enviará una alerta a un administrador. El administrador puede determinar qué está pasando y decidir si not para tomar medidas. Por ejemplo, un aumento en el tráfico saliente podría ser el resultado de la carga de un proyecto grande en un servidor externo, lo que significa que no se debe tomar medidas. Por el contrario, una computadora que envía repentinamente miles de correos electrónicos podría infectarse con un virus, haciendo medidas necesarias para proteger el resto de la red de la infección.

Esta técnica de seguridad se puede utilizar en redes de todos los tamaños. El programa utilizado para realizar la detección de anomalías de comportamiento de red generalmente se puede personalizar para satisfacer las necesidades particulares. Por ejemplo, se puede decir que el programa corta una computadora de una red si exhibe signos obvios de problemas de seguridad o términos de violaciones de uso.