O que é detecção de anomalia de comportamento da rede?
Detecção de anomalia de comportamento da rede (NBAD) é uma técnica de segurança usada para monitorar uma rede em busca de sinais de atividade incomum. Essa técnica foi projetada para se encaixar com várias camadas de segurança para fornecer proteção completa e é realizado com o uso de um programa de computador que monitora a rede continuamente. Inúmeras empresas fabricam programas projetados para a detecção de anomalia de comportamento da rede em várias configurações.
O programa estabelece primeiro uma linha de base, analisando a rede normal e o comportamento do usuário. Com essas informações, ela pode começar a identificar anomalias que podem indicar uma ameaça à segurança. As ameaças à segurança podem incluir vírus e vermes, a liberação não autorizada de informações sensíveis e questões semelhantes. A detecção de anomalia do comportamento da rede também pode ser usada para identificar os termos de violações de uso. Em uma rede universitária, por exemplo, o download de material protegido por direitos autorais pode ser proibido, e o programa pode identificar usuários que estão baixando uma grande quantidades de dados, que podem parecer sugerir que eles estão envolvidos em pirataria de software, música ou cinema.
Uma vantagem para a detecção de anomalia do comportamento da rede é que ela pode ser usada para abordar explorações de dias zero. As explorações de dia zero ocorrem quando um vírus é liberado pela primeira vez ou quando as pessoas identificam um buraco de segurança pela primeira vez. No "dia zero", os programas de software antivírus e de segurança ainda não identificaram um perfil que poderia ser usado para evitar tais façanhas. Detecção de anomalia do comportamento da rede, no entanto, não precisa procurar um perfil específico, apenas procura atividade incomum, o que significa que ele pode identificar algo como um vírus antes que o programa antivírus seja atualizado.
Quando um programa de detecção de anomalia de comportamento de rede identifica algo que considera incomum, ele enviará um alerta a um administrador. O administrador pode determinar o que está acontecendo e decidir se não ou nãot para agir. Por exemplo, um aumento no tráfego de saída pode ser o resultado do upload de um grande projeto em um servidor externo, o que significa que nenhuma ação precisa ser tomada. Por outro lado, um computador enviando de repente milhares de e -mails pode ser infectado com um vírus, fazendo ações necessárias para proteger o restante da rede contra a infecção.
Essa técnica de segurança pode ser usada em redes de todos os tamanhos. O programa usado para executar a detecção de anomalia de comportamento da rede geralmente pode ser personalizado para atender às necessidades específicas. Por exemplo, o programa pode ser instruído a cortar um computador de uma rede se exibir sinais óbvios de problemas de segurança ou termos de uso de violações.