Преглед садржаја:
- Дефиниција - Шта значи детекција аномалије мрежа у понашању (НБАД)?
- Техопедија објашњава детекцију аномалије мрежног понашања (НБАД)
Дефиниција - Шта значи детекција аномалије мрежа у понашању (НБАД)?
Детекција аномалије мрежног понашања (НБАД) је праћење мреже у стварном времену ради необичних активности, трендова или догађаја. Алат за откривање аномалије мрежног понашања користи се као додатни алат за откривање пријетњи за надгледање мрежних активности и генерирање опћих упозорења која често захтијевају даљњу процјену од стране ИТ тима.
Системи имају могућност откривања пријетњи и заустављања сумњивих активности у ситуацијама када традиционални сигурносни софтвер није ефикасан. Уз то, алати сугерирају које сумњиве активности или догађаји захтијевају додатну анализу.
Техопедија објашњава детекцију аномалије мрежног понашања (НБАД)
Алат за откривање аномалије мрежног понашања користи се заједно са традиционалним сигурносним системима периметра, попут антивирусног софтвера, како би се пружио додатни сигурносни механизам. Међутим, за разлику од антивируса који штити мрежу од познатих претњи, НБАД проверава сумњиве активности које ће вероватно угрозити рад мреже било инфекцијом система, било крађом података.
Она прати мрежни промет ради било каквих одступања од очекиване количине измереног мрежног параметра, попут пакета, бајтова, протока и употребе протокола. Једном када се сумња да активност прети, генеришу се детаљи догађаја, укључујући ИП починиоца и циљне ИП адресе, порт, протокол, време напада и више.
Алат користи комбинацију метода откривања потписа и аномалија да провјери било коју необичну мрежну активност и упозори менаџере сигурности и мреже како би могли анализирати активност и зауставити је или одговорити прије него што пријетња утјече на систем и податке.
Три главне компоненте надгледања понашања мреже су обрасци протока саобраћаја, подаци о перформансама мреже и пасивна анализа саобраћаја. То омогућава организацији да открије претње попут:
- Непримјерено мрежно понашање - Алат открива неовлаштене апликације, неправилне мрежне активности или апликације помоћу необичних портова. Једном откривен, систем заштите може се користити за идентификацију и аутоматско онемогућавање корисничког налога који је повезан са мрежном активношћу.
- Екфилтрација података - надгледа излазне комуникацијске податке и активира аларм када се открију сумњиво велике количине преноса података. Систем би могао даље идентификовати одредишну апликацију ако се базира на облаку да би утврдио да ли је легитимна или је случај крађе података.
- Скривени злонамјерни софтвер - Открива напредни злонамјерни софтвер који је могао избјећи заштиту од периметра и упасти у организацијску / корпоративну мрежу.
