Co to jest wykrywanie anomalii zachowania sieciowego?
Wykrywanie anomalii zachowania sieci (NBAD) to technika bezpieczeństwa stosowana do monitorowania sieci pod kątem oznak nietypowej aktywności. Technika ta ma na celu połączenie z wieloma warstwami zabezpieczeń w celu zapewnienia pełnej ochrony, a realizuje się ją za pomocą programu komputerowego, który stale monitoruje sieć. Wiele firm tworzy programy przeznaczone do wykrywania anomalii zachowania sieci w różnych ustawieniach.
Program najpierw ustala punkt odniesienia, patrząc na normalne zachowanie sieci i użytkownika. Dzięki tym informacjom może zacząć identyfikować anomalie, które mogą wskazywać na zagrożenie bezpieczeństwa. Zagrożenia bezpieczeństwa mogą obejmować wirusy i robaki, nieautoryzowane uwalnianie poufnych informacji i podobne problemy. Wykrywanie anomalii zachowania sieci można również wykorzystać do identyfikacji warunków naruszenia zasad użytkowania. Na przykład w sieci szkół wyższych pobieranie materiałów chronionych prawem autorskim może być zabronione, a program może zidentyfikować użytkowników, którzy pobierają duże ilości danych, co może sugerować, że angażują się w piractwo oprogramowania, muzyki lub filmu.
Jedną z zalet wykrywania anomalii zachowania sieci jest to, że można go wykorzystać do wyeliminowania exploitów zero-day. Exploity typu zero-day mają miejsce, gdy wirus jest uwalniany po raz pierwszy lub gdy ludzie po raz pierwszy identyfikują lukę w zabezpieczeniach. W „dniu zero” oprogramowanie antywirusowe i zabezpieczające nie zidentyfikowało jeszcze profilu, którego można by użyć do zapobiegania takim atakom. Wykrywanie anomalii zachowania sieci nie musi jednak szukać konkretnego profilu, po prostu szuka nietypowej aktywności, co oznacza, że może zidentyfikować coś w rodzaju wirusa przed aktualizacją programu antywirusowego.
Gdy program do wykrywania anomalii zachowania sieci zidentyfikuje coś, co uważa za nietypowe, wyśle alert do administratora. Administrator może określić, co się dzieje, i zdecydować, czy podjąć działanie. Na przykład zwiększenie ruchu wychodzącego może być wynikiem przesłania dużego projektu na serwer zewnętrzny, co oznacza, że nie trzeba podejmować żadnych działań. I odwrotnie, komputer nagle wysyłający tysiące e-maili może zostać zainfekowany wirusem, co wymaga podjęcia działań w celu ochrony reszty sieci przed infekcją.
Tę technikę zabezpieczeń można stosować w sieciach każdej wielkości. Program służący do wykrywania nieprawidłowości w działaniu sieci można zazwyczaj dostosować do konkretnych potrzeb. Na przykład program może zostać poproszony o odcięcie komputera od sieci, jeśli wykazuje oczywiste oznaki problemów z bezpieczeństwem lub naruszenia warunków użytkowania.