Оглавление:
- Определение - Что означает обнаружение аномалий сетевого поведения (NBAD)?
- Techopedia объясняет обнаружение аномалий поведения сети (NBAD)
Определение - Что означает обнаружение аномалий сетевого поведения (NBAD)?
Обнаружение аномалий поведения сети (NBAD) - это мониторинг сети в режиме реального времени на предмет любых необычных действий, тенденций или событий. Инструменты обнаружения аномалий поведения сети используются в качестве дополнительных инструментов обнаружения угроз для мониторинга сетевой активности и генерации общих предупреждений, которые часто требуют дальнейшей оценки ИТ-командой.
Системы имеют возможность обнаруживать угрозы и останавливать подозрительные действия в ситуациях, когда традиционное программное обеспечение для обеспечения безопасности неэффективно. Кроме того, инструменты предлагают, какие подозрительные действия или события требуют дальнейшего анализа.
Techopedia объясняет обнаружение аномалий поведения сети (NBAD)
Инструменты обнаружения аномалий поведения сети используются в сочетании с традиционными системами защиты периметра, такими как антивирусное программное обеспечение, для обеспечения дополнительного механизма безопасности. Однако, в отличие от антивируса, который защищает сеть от известных угроз, NBAD проверяет подозрительные действия, которые могут скомпрометировать работу сети либо путем заражения системы, либо путем кражи данных.
Он контролирует сетевой трафик на предмет любых отклонений от ожидаемого объема измеренного сетевого параметра, такого как пакеты, байты, поток и использование протокола. Как только деятельность подозревается в угрозе, генерируются подробности события, включая IP-адрес нарушителя и адресата, порт, протокол, время атаки и многое другое.
Инструменты используют комбинацию методов обнаружения сигнатур и аномалий для проверки любой необычной сетевой активности и оповещения администраторов безопасности и сети, чтобы они могли проанализировать активность и остановить ее или ответить до того, как угроза затронет систему и данные.
Тремя основными компонентами мониторинга поведения сети являются шаблоны потока трафика, данные о производительности сети и пассивный анализ трафика. Это позволяет организации обнаруживать такие угрозы, как:
- Неподходящее поведение сети. Инструменты обнаруживают неавторизованные приложения, аномальную сетевую активность или приложения, использующие необычные порты. После обнаружения система защиты может использоваться для идентификации и автоматического отключения учетной записи пользователя, связанной с сетевой активностью.
- Эксфильтрация данных - отслеживает данные исходящей связи и выдает сигнал тревоги при обнаружении подозрительно больших объемов передачи данных. Система может дополнительно идентифицировать целевое приложение, если оно основано на облаке, чтобы определить, является ли оно законным или случай кражи данных.
- Скрытое вредоносное ПО - обнаруживает расширенное вредоносное ПО, которое могло обойти защитную систему периметра и проникнуть в корпоративную / корпоративную сеть.
