Hva er nettverksatferdsanomalideteksjon?
Nettverksadferd anomali deteksjon (NBAD) er en sikkerhetsteknikk som brukes til å overvåke et nettverk for tegn på uvanlig aktivitet. Denne teknikken er designet for å svale opp i flere lag med sikkerhet for å gi fullstendig beskyttelse, og den oppnås med bruk av et dataprogram som overvåker nettverket kontinuerlig. Mange bedrifter lager programmer designet for avdekking av nettverksatferdsavvik i forskjellige innstillinger.
Programmet etablerer først en baseline, og ser på normal nettverk og brukeratferd. Med denne informasjonen kan det begynne å identifisere avvik som kan indikere en sikkerhetstrussel. Sikkerhetstrusler kan omfatte virus og ormer, uautorisert utgivelse av sensitiv informasjon og lignende problemer. Nettverksadferd anomali påvisning kan også brukes til å identifisere brudd på bruksvilkår. I et universitetsnettverk kan for eksempel nedlasting av opphavsrettsbeskyttet materiale være forbudt, og programmet kan identifisere brukere som laster ned store datamengder, noe som kan synes å antyde at de driver piratkopiering av programvare, musikk eller film.
En fordel med deteksjon av anomalier i nettverksatferd er at den kan brukes til å adressere dagers utnyttelse. Nulldagers utnyttelse skjer når et virus frigjøres første gang, eller når folk først identifiserer et sikkerhetshull. På "null-dagen" har ikke antivirus- og sikkerhetsprogrammer identifisert en profil som kan brukes for å forhindre slike utnyttelser. Nettverksadferd anomali påvisning trenger imidlertid ikke å se etter en bestemt profil, det ser bare etter uvanlig aktivitet, noe som betyr at den kan identifisere noe som et virus før antivirusprogrammet er oppdatert.
Når et program for avdekking av anomalier i nettverk oppdager noe som det synes er uvanlig, vil det sende et varsel til en administrator. Administratoren kan bestemme hva som skjer, og bestemme om den skal iverksette eller ikke. For eksempel kan en uptick i utgående trafikk være et resultat av opplasting av et stort prosjekt til en ekstern server, noe som betyr at det ikke trenger å gjøres noe. Motsatt kan en datamaskin som plutselig sender ut tusenvis av e-poster bli smittet med et virus, noe som gjør tiltak nødvendig for å beskytte resten av nettverket mot infeksjon.
Denne sikkerhetsteknikken kan brukes i nettverk i alle størrelser. Programmet som brukes til å utføre avvik fra nettverkets atferd, kan vanligvis tilpasses for å imøtekomme spesielle behov. For eksempel kan programmet bli bedt om å kutte en datamaskin fra et nettverk hvis det viser åpenbare tegn på sikkerhetsproblemer eller brudd på bruksvilkårene.