Définition - Que signifie la détection des anomalies de comportement du réseau (NBAD)?
La détection d'anomalies de comportement de réseau (NBAD) est la surveillance en temps réel d'un réseau pour toute activité, tendance ou événement inhabituel. Les outils de détection des anomalies de comportement du réseau sont utilisés comme outils de détection des menaces supplémentaires pour surveiller les activités du réseau et générer des alertes générales qui nécessitent souvent une évaluation plus approfondie par l'équipe informatique.
Les systèmes ont la capacité de détecter les menaces et d'arrêter les activités suspectes dans les situations où les logiciels de sécurité traditionnels sont inefficaces. De plus, les outils suggèrent les activités ou événements suspects qui nécessitent une analyse plus approfondie.
Definir Tech explique la détection des anomalies de comportement du réseau (NBAD)
Les outils de détection des anomalies de comportement du réseau sont utilisés en conjonction avec les systèmes de sécurité périmétriques traditionnels, tels que les logiciels antivirus, pour fournir un mécanisme de sécurité supplémentaire. Cependant, contrairement à l'antivirus qui protège le réseau contre les menaces connues, la NBAD vérifie les activités suspectes susceptibles de compromettre le fonctionnement du réseau soit en infectant le système, soit par le vol de données.
Il surveille le trafic réseau pour tout écart par rapport au volume attendu d'un paramètre de réseau mesuré tel que les paquets, les octets, le flux et l'utilisation du protocole. Une fois qu'une activité est soupçonnée d'être une menace, les détails d'un événement, y compris le contrevenant et les adresses IP cibles, le port, le protocole, l'heure de l'attaque, etc., sont générés.
Les outils utilisent une combinaison de méthodes de détection de signature et d'anomalie pour vérifier toute activité réseau inhabituelle et alerter les responsables de la sécurité et du réseau afin qu'ils puissent analyser l'activité et l'arrêter ou répondre avant qu'une menace n'affecte le système et les données.
Les trois principaux composants de la surveillance du comportement du réseau sont les modèles de flux de trafic, les données de performance du réseau et l'analyse passive du trafic. Cela permet à une organisation de détecter des menaces telles que:
- Comportement réseau inapproprié - Les outils détectent les applications non autorisées, l'activité réseau anormale ou les applications utilisant des ports inhabituels. Une fois détecté, le système de protection peut être utilisé pour identifier et désactiver automatiquement le compte d'utilisateur associé à l'activité du réseau.
- Exfiltration des données - Surveille les données de communication sortantes et déclenche une alarme lorsque des quantités de transfert de données étrangement importantes sont détectées. Le système pourrait en outre identifier l'application de destination si elle est basée sur le cloud pour déterminer si elle est légitime ou s'il s'agit d'un cas de vol de données.
- Malware caché - Détecte les logiciels malveillants avancés qui peuvent avoir échappé à la protection de sécurité du périmètre et infiltré le réseau de l'organisation / de l'entreprise.