O que é detecção de anomalia de comportamento de rede?
A detecção de anomalias de comportamento de rede (NBAD) é uma técnica de segurança usada para monitorar uma rede quanto a sinais de atividade incomum. Essa técnica é projetada para se encaixar em várias camadas de segurança para fornecer proteção completa e é realizada com o uso de um programa de computador que monitora a rede continuamente. Várias empresas desenvolvem programas projetados para a detecção de anomalias no comportamento da rede em várias configurações.
O programa primeiro estabelece uma linha de base, observando o comportamento normal da rede e do usuário. Com essas informações, ele pode começar a identificar anomalias que podem indicar uma ameaça à segurança. As ameaças à segurança podem incluir vírus e worms, a liberação não autorizada de informações confidenciais e problemas semelhantes. A detecção de anomalias no comportamento da rede também pode ser usada para identificar violações dos termos de uso. Em uma rede da faculdade, por exemplo, o download de material protegido por direitos autorais pode ser proibido, e o programa pode identificar usuários que estão baixando grandes quantidades de dados, o que pode sugerir que eles estão envolvidos na pirataria de software, música ou filme.
Uma vantagem da detecção de anomalia no comportamento da rede é que ela pode ser usada para lidar com explorações de dia zero. Explorações de zero dia ocorrem quando um vírus é lançado pela primeira vez ou quando as pessoas identificam pela primeira vez uma falha de segurança. No "dia zero", os programas antivírus e de software de segurança ainda não identificaram um perfil que poderia ser usado para impedir tais explorações. A detecção de anomalia no comportamento da rede, no entanto, não precisa procurar um perfil específico, apenas procura atividades incomuns, o que significa que ele pode identificar algo como um vírus antes que o programa antivírus seja atualizado.
Quando um programa de detecção de anomalia de comportamento na rede identifica algo que considera incomum, ele envia um alerta para um administrador. O administrador pode determinar o que está acontecendo e decidir se deve ou não executar uma ação. Por exemplo, um aumento no tráfego de saída pode ser o resultado do upload de um projeto grande em um servidor externo, o que significa que nenhuma ação precisa ser executada. Por outro lado, um computador repentinamente enviando milhares de e-mails pode ser infectado por um vírus, tornando as ações necessárias para proteger o resto da rede contra infecções.
Essa técnica de segurança pode ser usada em redes de todos os tamanhos. O programa usado para executar a detecção de anomalias no comportamento da rede geralmente pode ser personalizado para atender a necessidades específicas. Por exemplo, pode-se dizer ao programa para cortar um computador de uma rede se exibir sinais óbvios de problemas de segurança ou violações dos termos de uso.