Definição - O que significa Network Behavior Anomaly Detection (NBAD)?
A detecção de anomalias de comportamento de rede (NBAD) é o monitoramento em tempo real de uma rede para qualquer atividade, tendência ou evento incomum. As ferramentas de detecção de anomalias de comportamento de rede são usadas como ferramentas adicionais de detecção de ameaças para monitorar atividades de rede e gerar alertas gerais que geralmente requerem avaliação adicional pela equipe de TI.
Os sistemas têm a capacidade de detectar ameaças e interromper atividades suspeitas em situações em que o software de segurança tradicional é ineficaz. Além disso, as ferramentas sugerem quais atividades ou eventos suspeitos requerem uma análise mais aprofundada.
A Definirtec explica a detecção de anomalias de comportamento de rede (NBAD)
As ferramentas de detecção de anomalia de comportamento de rede são usadas em conjunto com sistemas de segurança de perímetro tradicionais, como software antivírus, para fornecer um mecanismo de segurança adicional. No entanto, ao contrário do antivírus que protege a rede contra ameaças conhecidas, o NBAD verifica as atividades suspeitas que podem comprometer as operações da rede infectando o sistema ou roubando dados.
Ele monitora o tráfego de rede para quaisquer desvios do volume esperado de um parâmetro de rede medido, como pacotes, bytes, fluxo e uso de protocolo. Quando uma atividade é suspeita de ser uma ameaça, os detalhes de um evento, incluindo o infrator e os IPs de destino, a porta, o protocolo, o horário do ataque e muito mais, são gerados.
As ferramentas usam uma combinação de métodos de detecção de assinatura e anomalia para verificar qualquer atividade de rede incomum e alertar os gerentes de segurança e de rede para que eles possam analisar a atividade e interrompê-la ou responder antes que uma ameaça afete o sistema e os dados.
Os três principais componentes do monitoramento do comportamento da rede são os padrões de fluxo de tráfego, os dados de desempenho da rede e a análise passiva do tráfego. Isso permite que uma organização detecte ameaças como:
- Comportamento de rede inadequado - As ferramentas detectam aplicativos não autorizados, atividade de rede anômala ou aplicativos que usam portas incomuns. Uma vez detectado, o sistema de proteção pode ser usado para identificar e desativar automaticamente a conta do usuário associada à atividade da rede.
- Exfiltração de dados - monitora os dados das comunicações de saída e dispara um alarme quando quantidades suspeitas de transferência de dados são detectadas. O sistema pode identificar ainda mais o aplicativo de destino se for baseado na nuvem para determinar se é legítimo ou se é um caso de roubo de dados.
- Malware oculto - detecta malware avançado que pode ter evitado a proteção de segurança do perímetro e se infiltrado na organização / rede corporativa.