Che cos'è il rilevamento anomalie del comportamento di rete?
Il rilevamento delle anomalie del comportamento di rete (NBAD) è una tecnica di sicurezza utilizzata per monitorare una rete per rilevare segni di attività insolita. Questa tecnica è progettata per essere combinata con più livelli di sicurezza per fornire una protezione completa ed è realizzata con l'uso di un programma per computer che monitora la rete su base continua. Numerose aziende realizzano programmi progettati per il rilevamento di anomalie del comportamento di rete in varie impostazioni.
Il programma stabilisce innanzitutto una linea di base, osservando il normale comportamento della rete e dell'utente. Con queste informazioni, può iniziare a identificare anomalie che potrebbero indicare una minaccia alla sicurezza. Le minacce alla sicurezza potrebbero includere virus e worm, il rilascio non autorizzato di informazioni riservate e problemi simili. Il rilevamento delle anomalie del comportamento di rete può anche essere utilizzato per identificare violazioni delle condizioni d'uso. Su una rete universitaria, ad esempio, può essere proibito il download di materiale protetto da copyright e il programma può identificare gli utenti che stanno scaricando grandi quantità di dati, il che potrebbe suggerire che si stanno impegnando nella pirateria di software, musica o film.
Uno dei vantaggi del rilevamento delle anomalie del comportamento di rete è che può essere utilizzato per gestire exploit zero-day. Gli exploit zero day si verificano quando un virus viene rilasciato per la prima volta o quando le persone identificano per la prima volta una falla nella sicurezza. Nel "giorno zero", i programmi software antivirus e di sicurezza non hanno ancora identificato un profilo che potrebbe essere utilizzato per prevenire tali exploit. Il rilevamento delle anomalie del comportamento di rete, tuttavia, non deve cercare un profilo particolare, ma cerca solo attività insolite, il che significa che può identificare qualcosa come un virus prima che il programma antivirus sia stato aggiornato.
Quando un programma di rilevamento anomalie del comportamento di rete identifica qualcosa che ritiene insolito, invierà un avviso a un amministratore. L'amministratore può determinare cosa sta succedendo e decidere se agire o meno. Ad esempio, un aumento del traffico in uscita potrebbe essere il risultato del caricamento di un grande progetto su un server esterno, il che significa che non è necessario intraprendere alcuna azione. Al contrario, un computer che invia improvvisamente migliaia di e-mail potrebbe essere infettato da un virus, rendendo necessarie azioni per proteggere il resto della rete dalle infezioni.
Questa tecnica di sicurezza può essere utilizzata su reti di tutte le dimensioni. Il programma utilizzato per eseguire il rilevamento delle anomalie del comportamento di rete può in genere essere personalizzato per soddisfare esigenze particolari. Ad esempio, si può dire al programma di tagliare un computer da una rete se mostra evidenti segni di problemi di sicurezza o violazioni delle condizioni d'uso.