Che cos'è il rilevamento di anomalie del comportamento della rete?
Il rilevamento delle anomalie del comportamento della rete (NBAD) è una tecnica di sicurezza utilizzata per monitorare una rete per segni di attività insolita. Questa tecnica è progettata per fare la coda con più livelli di sicurezza per fornire una protezione completa e viene realizzata con l'uso di un programma per computer che monitora la rete su base continua. Numerose aziende realizzano programmi progettati per il rilevamento delle anomalie del comportamento della rete in varie impostazioni.
Il programma stabilisce innanzitutto una base di base, osservando il normale comportamento di rete e utente. Con queste informazioni, può iniziare a identificare anomalie che potrebbero indicare una minaccia per la sicurezza. Le minacce alla sicurezza potrebbero includere virus e vermi, il rilascio non autorizzato di informazioni sensibili e problemi simili. Il rilevamento delle anomalie del comportamento della rete può anche essere utilizzato per identificare le violazioni delle condizioni d'uso. Su una rete universitaria, ad esempio, può essere proibito il download di materiale protetto da copyright e il programma può identificare gli utenti che stanno scaricando una grande quantitàs di dati, che potrebbero suggerire che si stiano impegnando nella pirateria di software, musica o film.
Un vantaggio per il rilevamento dell'anomalia del comportamento della rete è che può essere utilizzato per affrontare gli exploit zero day. Gli exploit zero day si verificano quando un virus viene rilasciato per la prima volta o quando le persone identificano per la prima volta un buco di sicurezza. Nel "giorno zero", i programmi di software antivirus e di sicurezza non hanno ancora identificato un profilo che potrebbe essere utilizzato per prevenire tali exploit. Il rilevamento dell'anomalia del comportamento della rete, tuttavia, non deve cercare un profilo particolare, cerca solo attività insolite, il che significa che può identificare qualcosa come un virus prima che il programma anti-virus sia stato aggiornato.
Quando un programma di rilevamento delle anomalie del comportamento della rete identifica qualcosa che ritiene insolito, invierà un avviso a un amministratore. L'amministratore può determinare cosa sta succedendo e decidere se o noT per agire. Ad esempio, un aumento del traffico in uscita potrebbe essere il risultato del caricamento di un grande progetto su un server esterno, il che significa che non è necessario intraprendere alcuna azione. Al contrario, un computer che invia improvvisamente migliaia di e -mail potrebbe essere infettato da un virus, rendendo necessaria un'azione per proteggere il resto della rete dalle infezioni.
Questa tecnica di sicurezza può essere utilizzata su reti di tutte le dimensioni. Il programma utilizzato per eseguire il rilevamento delle anomalie del comportamento della rete può di solito essere personalizzato per soddisfare le esigenze particolari. Ad esempio, il programma può essere detto di tagliare un computer da una rete se presenta evidenti segni di problemi di sicurezza o violazioni delle condizioni d'uso.