Qu'est-ce que la détection d'anomalie de comportement de réseau?
La détection des anomalies du comportement du réseau (NBAD) est une technique de sécurité utilisée pour surveiller un réseau pour détecter des signes d'activité inhabituelle. Cette technique est conçue pour s’harmoniser avec plusieurs couches de sécurité afin de fournir une protection complète. Elle est réalisée à l’aide d’un programme informatique qui surveille le réseau de façon continue. De nombreuses entreprises conçoivent des programmes conçus pour la détection d’anomalies de comportement de réseau dans divers contextes.
Le programme établit d’abord une base de référence en examinant le comportement normal du réseau et des utilisateurs. Avec ces informations, il peut commencer à identifier des anomalies pouvant indiquer une menace à la sécurité. Les menaces pour la sécurité peuvent inclure des virus et des vers, la publication non autorisée d'informations sensibles et des problèmes similaires. La détection des anomalies du comportement du réseau peut également être utilisée pour identifier les violations des conditions d'utilisation. Par exemple, sur un réseau collégial, le téléchargement de matériel protégé par le droit d'auteur peut être interdit et le programme peut identifier les utilisateurs qui téléchargent de grandes quantités de données, ce qui peut sembler suggérer qu'ils se livrent au piratage de logiciels, de musique ou de films.
L'un des avantages de la détection d'anomalie de comportement sur le réseau est qu'elle peut être utilisée pour résoudre des exploits à jour zéro. Les exploits zéro jour se produisent lorsqu'un virus est publié ou lorsque les gens identifient pour la première fois une faille de sécurité. Le jour «zéro jour», les logiciels antivirus et de sécurité n'ont pas encore identifié de profil pouvant être utilisé pour empêcher de tels exploits. La détection des anomalies du comportement du réseau ne nécessite toutefois pas de rechercher un profil particulier, mais uniquement une activité inhabituelle, ce qui signifie qu'elle peut identifier quelque chose comme un virus avant la mise à jour du programme antivirus.
Lorsqu'un programme de détection d'anomalie de comportement sur le réseau identifie quelque chose qu'il juge inhabituel, il envoie une alerte à un administrateur. L'administrateur peut déterminer ce qui se passe et décider de prendre ou non des mesures. Par exemple, une hausse du trafic sortant peut être le résultat du téléchargement d'un projet volumineux sur un serveur externe, ce qui signifie qu'aucune action ne doit être entreprise. Inversement, un ordinateur qui envoie des milliers de courriels peut être infecté par un virus, ce qui rend nécessaire toute action visant à protéger le reste du réseau contre les infections.
Cette technique de sécurité peut être utilisée sur des réseaux de toutes tailles. Le programme utilisé pour détecter les anomalies du comportement du réseau peut généralement être personnalisé pour répondre à des besoins particuliers. Par exemple, on peut demander au programme de couper un ordinateur d’un réseau s’il présente des signes évidents de problèmes de sécurité ou de violations des conditions d’utilisation.