Wat is detectie van afwijkingen in netwerkgedrag?
Detectie van netwerkgedraganomalie (NBAD) is een beveiligingstechniek die wordt gebruikt om een netwerk te controleren op tekenen van ongebruikelijke activiteit. Deze techniek is ontworpen om te passen bij meerdere beveiligingslagen om volledige bescherming te bieden, en wordt bereikt met behulp van een computerprogramma dat het netwerk continu bewaakt. Tal van bedrijven maken programma's die zijn ontworpen voor detectie van afwijkingen in netwerkgedrag in verschillende instellingen.
Het programma stelt eerst een basislijn vast, kijkend naar normaal netwerk- en gebruikersgedrag. Met deze informatie kan het beginnen met het identificeren van anomalieën die kunnen wijzen op een beveiligingsrisico. Beveiligingsbedreigingen kunnen virussen en wormen zijn, het ongeautoriseerd vrijgeven van gevoelige informatie en soortgelijke problemen. Detectie van afwijkingen in netwerkgedrag kan ook worden gebruikt om schendingen van gebruiksvoorwaarden te identificeren. Op een universiteitsnetwerk kan het downloaden van auteursrechtelijk beschermd materiaal bijvoorbeeld verboden zijn en kan het programma gebruikers identificeren die grote hoeveelheden gegevens downloaden, wat lijkt te suggereren dat zij bezig zijn met piraterij van software, muziek of film.
Een voordeel van de detectie van afwijkingen in netwerkgedrag is dat deze kan worden gebruikt om zero-day exploits aan te pakken. Zero day-exploits vinden plaats wanneer een virus voor het eerst wordt vrijgegeven of wanneer mensen voor het eerst een beveiligingslek identificeren. Op de "nuldag" hebben antivirus- en beveiligingssoftwareprogramma's nog geen profiel geïdentificeerd dat kan worden gebruikt om dergelijke exploits te voorkomen. Detectie van netwerkafwijkingen hoeft echter niet naar een bepaald profiel te zoeken, het zoekt alleen naar ongebruikelijke activiteit, wat betekent dat het zoiets als een virus kan identificeren voordat het antivirusprogramma is bijgewerkt.
Wanneer een programma voor detectie van afwijkingen in netwerkgedrag iets identificeert waarvan het denkt dat het ongewoon is, stuurt het een waarschuwing naar een beheerder. De beheerder kan bepalen wat er aan de hand is en beslissen of hij al dan niet actie onderneemt. Een toename van uitgaand verkeer kan bijvoorbeeld het gevolg zijn van het uploaden van een groot project naar een externe server, wat betekent dat er geen actie hoeft te worden ondernomen. Omgekeerd kan een computer die plotseling duizenden e-mails verstuurt, besmet zijn met een virus, waardoor actie nodig is om de rest van het netwerk tegen infecties te beschermen.
Deze beveiligingstechniek kan worden gebruikt op netwerken van elke omvang. Het programma dat wordt gebruikt om detectie van afwijkingen in het netwerkgedrag uit te voeren, kan meestal worden aangepast aan specifieke behoeften. Het programma kan bijvoorbeeld worden verteld dat het een computer van een netwerk moet afsluiten als het duidelijke tekenen van beveiligingsproblemen of schending van gebruiksvoorwaarden vertoont.