Inhaltsverzeichnis:
- Definition - Was bedeutet Network Behavior Anomaly Detection (NBAD)?
- Techopedia erklärt Network Behavior Anomaly Detection (NBAD)
Definition - Was bedeutet Network Behavior Anomaly Detection (NBAD)?
Network Behaviour Anomaly Detection (NBAD) ist die Echtzeitüberwachung eines Netzwerks auf ungewöhnliche Aktivitäten, Trends oder Ereignisse. Die Tools zur Erkennung von Netzwerkverhaltensanomalien werden als zusätzliche Tools zur Erkennung von Bedrohungen verwendet, um Netzwerkaktivitäten zu überwachen und allgemeine Warnungen zu generieren, die häufig eine weitere Bewertung durch das IT-Team erfordern.
Die Systeme können Bedrohungen erkennen und verdächtige Aktivitäten in Situationen stoppen, in denen herkömmliche Sicherheitssoftware unwirksam ist. Darüber hinaus schlagen die Tools vor, welche verdächtigen Aktivitäten oder Ereignisse eine weitere Analyse erfordern.
Techopedia erklärt Network Behavior Anomaly Detection (NBAD)
Die Tools zur Erkennung von Netzwerkverhaltensanomalien werden in Verbindung mit herkömmlichen Perimeter-Sicherheitssystemen wie Antivirensoftware verwendet, um einen zusätzlichen Sicherheitsmechanismus bereitzustellen. Im Gegensatz zu Antivirenprogrammen, die das Netzwerk vor bekannten Bedrohungen schützen, überprüft der NBAD verdächtige Aktivitäten, die den Netzwerkbetrieb beeinträchtigen können, indem sie entweder das System infizieren oder Daten stehlen.
Es überwacht den Netzwerkverkehr auf Abweichungen vom erwarteten Volumen eines gemessenen Netzwerkparameters wie Pakete, Bytes, Fluss und Protokollnutzung. Sobald der Verdacht besteht, dass eine Aktivität eine Bedrohung darstellt, werden die Details eines Ereignisses einschließlich der IPs des Täters und des Ziels, des Ports, des Protokolls, des Zeitpunkts des Angriffs und mehr generiert.
Die Tools verwenden eine Kombination aus Signatur- und Anomalieerkennungsmethoden, um ungewöhnliche Netzwerkaktivitäten zu überprüfen und die Sicherheits- und Netzwerkmanager zu alarmieren, damit sie die Aktivität analysieren und stoppen oder reagieren können, bevor eine Bedrohung das System und die Daten beeinträchtigt.
Die drei Hauptkomponenten der Überwachung des Netzwerkverhaltens sind die Verkehrsflussmuster, die Netzwerkleistungsdaten und die passive Verkehrsanalyse. Auf diese Weise kann eine Organisation Bedrohungen wie die folgenden erkennen:
- Unangemessenes Netzwerkverhalten - Die Tools erkennen nicht autorisierte Anwendungen, anormale Netzwerkaktivitäten oder Anwendungen, die ungewöhnliche Ports verwenden. Sobald es erkannt wurde, kann das Schutzsystem verwendet werden, um das mit der Netzwerkaktivität verbundene Benutzerkonto zu identifizieren und automatisch zu deaktivieren.
- Datenexfiltration - Überwacht ausgehende Kommunikationsdaten und löst einen Alarm aus, wenn verdächtig große Datenübertragungsmengen erkannt werden. Das System könnte ferner die Zielanwendung identifizieren, wenn diese Cloud-basiert ist, um festzustellen, ob sie legitim ist oder ob es sich um einen Datendiebstahl handelt.
- Verborgene Malware - Erkennt fortgeschrittene Malware, die möglicherweise den Perimeter-Sicherheitsschutz umgangen und das Unternehmensnetzwerk infiltriert hat.
