Tabla de contenido:
- Definición: ¿Qué significa la detección de anomalías de comportamiento de red (NBAD)?
- Techopedia explica la detección de anomalías de comportamiento de red (NBAD)
Definición: ¿Qué significa la detección de anomalías de comportamiento de red (NBAD)?
La detección de anomalías de comportamiento de red (NBAD) es el monitoreo en tiempo real de una red para detectar cualquier actividad, tendencia o evento inusual. Las herramientas de detección de anomalías de comportamiento de la red se utilizan como herramientas de detección de amenazas adicionales para monitorear las actividades de la red y generar alertas generales que a menudo requieren una evaluación adicional por parte del equipo de TI.
Los sistemas tienen la capacidad de detectar amenazas y detener actividades sospechosas en situaciones donde el software de seguridad tradicional es ineficaz. Además, las herramientas sugieren qué actividades o eventos sospechosos requieren un análisis más detallado.
Techopedia explica la detección de anomalías de comportamiento de red (NBAD)
Las herramientas de detección de anomalías de comportamiento de la red se utilizan junto con los sistemas tradicionales de seguridad perimetral, como el software antivirus, para proporcionar un mecanismo de seguridad adicional. Sin embargo, a diferencia del antivirus que protege la red contra amenazas conocidas, el NBAD verifica actividades sospechosas que pueden comprometer las operaciones de la red ya sea infectando el sistema o mediante el robo de datos.
Supervisa el tráfico de la red en busca de cualquier desviación del volumen esperado de un parámetro de red medido, como los paquetes, bytes, flujo y uso del protocolo. Una vez que se sospecha que una actividad es una amenaza, se generan los detalles de un evento, incluidas las IP del infractor y del objetivo, el puerto, el protocolo, el momento del ataque y más.
Las herramientas usan una combinación de métodos de detección de firmas y anomalías para verificar cualquier actividad inusual de la red y alertar a los administradores de seguridad y de la red para que puedan analizar la actividad y detenerla o responder antes de que una amenaza afecte al sistema y los datos.
Los tres componentes principales de la supervisión del comportamiento de la red son los patrones de flujo de tráfico, los datos de rendimiento de la red y el análisis de tráfico pasivo. Esto permite que una organización detecte amenazas como:
- Comportamiento inapropiado de la red: las herramientas detectan aplicaciones no autorizadas, actividad de red anómala o aplicaciones que utilizan puertos inusuales. Una vez detectado, el sistema de protección puede usarse para identificar y deshabilitar automáticamente la cuenta de usuario asociada con la actividad de la red.
- Exfiltración de datos: monitorea los datos de comunicaciones salientes y activa una alarma cuando se detectan cantidades sospechosamente grandes de transferencia de datos. El sistema podría identificar aún más la aplicación de destino si está basada en la nube para determinar si es legítima o un caso de robo de datos.
- Malware oculto: detecta malware avanzado que puede haber evadido la protección de seguridad del perímetro e infiltrado en la organización / red corporativa.
