Wykrywanie anomalii zachowania sieciowego (NBAD)

Wideo: Wykorzystanie NetFlow do wykrywania anomalii i zagrożeń bezpieczeństwa – Best Practices

Zawartość

Definicja - Co oznacza wykrywanie anomalii zachowania sieciowego (NBAD)?
Wprowadzenie do Microsoft Azure i Microsoft Cloud | W tym przewodniku dowiesz się, na czym polega przetwarzanie w chmurze i jak Microsoft Azure może pomóc w migracji i prowadzeniu firmy z chmury.
Techopedia wyjaśnia wykrywanie anomalii zachowań sieciowych (NBAD)

Definicja - Co oznacza wykrywanie anomalii zachowania sieciowego (NBAD)?

Wykrywanie anomalii zachowania sieci (NBAD) to monitorowanie sieci w czasie rzeczywistym pod kątem wszelkich nietypowych działań, trendów lub zdarzeń. Narzędzia do wykrywania anomalii zachowania sieci są używane jako dodatkowe narzędzia do wykrywania zagrożeń w celu monitorowania aktywności w sieci i generowania ogólnych alertów, które często wymagają dalszej oceny przez zespół IT.

Systemy mają zdolność wykrywania zagrożeń i zatrzymywania podejrzanych działań w sytuacjach, w których tradycyjne oprogramowanie zabezpieczające jest nieskuteczne. Ponadto narzędzia sugerują, które podejrzane działania lub zdarzenia wymagają dalszej analizy.

Wprowadzenie do Microsoft Azure i Microsoft Cloud | W tym przewodniku dowiesz się, na czym polega przetwarzanie w chmurze i jak Microsoft Azure może pomóc w migracji i prowadzeniu firmy z chmury.

Techopedia wyjaśnia wykrywanie anomalii zachowań sieciowych (NBAD)

Narzędzia do wykrywania anomalii zachowania sieci są używane w połączeniu z tradycyjnymi obwodowymi systemami bezpieczeństwa, takimi jak oprogramowanie antywirusowe, w celu zapewnienia dodatkowego mechanizmu bezpieczeństwa. Jednak w przeciwieństwie do programu antywirusowego, który chroni sieć przed znanymi zagrożeniami, NBAD sprawdza podejrzane działania, które mogą zagrozić działaniom sieci przez zainfekowanie systemu lub kradzież danych.

Monitoruje ruch sieciowy pod kątem wszelkich odchyleń od oczekiwanej objętości mierzonego parametru sieci, takiego jak pakiety, bajty, przepływ i użycie protokołu. Gdy podejrzewa się, że aktywność stanowi zagrożenie, generowane są szczegóły zdarzenia, w tym adres IP sprawcy i docelowego, port, protokół, czas ataku i inne.

Narzędzia wykorzystują kombinację metod wykrywania sygnatur i anomalii, aby sprawdzić każdą nietypową aktywność sieciową i zaalarmować bezpieczeństwo oraz menedżerów sieci, aby mogli przeanalizować aktywność i zatrzymać ją lub zareagować, zanim zagrożenie wpłynie na system i dane.

Trzy główne elementy monitorowania zachowania sieci to wzorce przepływu ruchu, dane o wydajności sieci i pasywna analiza ruchu. Umożliwia to organizacji wykrywanie zagrożeń, takich jak:

Niewłaściwe zachowanie sieci - narzędzia wykrywają nieautoryzowane aplikacje, nieprawidłową aktywność sieci lub aplikacje używające nietypowych portów. Po wykryciu można użyć systemu ochrony do identyfikacji i automatycznego wyłączenia konta użytkownika związanego z aktywnością sieci.
Eksfiltracja danych - monitoruje wychodzące dane komunikacyjne i uruchamia alarm w przypadku wykrycia podejrzanie dużej ilości transferu danych. System może dodatkowo zidentyfikować aplikację docelową, jeśli jest oparta na chmurze, aby ustalić, czy jest ona uzasadniona, czy też w przypadku kradzieży danych.
Ukryte złośliwe oprogramowanie - wykrywa zaawansowane złośliwe oprogramowanie, które mogło ominąć ochronę bezpieczeństwa na obrzeżach i infiltrowało sieć organizacji / korporacji.