Detección de anomalías en el comportamiento de la red (nbad)

Definición: ¿Qué significa Detección de anomalías de comportamiento de red (NBAD)?

La detección de anomalías en el comportamiento de la red (NBAD) es el monitoreo en tiempo real de una red para detectar cualquier actividad, tendencia o evento inusual. Las herramientas de detección de anomalías del comportamiento de la red se utilizan como herramientas adicionales de detección de amenazas para monitorear las actividades de la red y generar alertas generales que a menudo requieren una evaluación adicional por parte del equipo de TI.

Los sistemas tienen la capacidad de detectar amenazas y detener actividades sospechosas en situaciones en las que el software de seguridad tradicional es ineficaz. Además, las herramientas sugieren qué actividades o eventos sospechosos requieren un análisis más detallado.

Techinfo explica la detección de anomalías en el comportamiento de la red (NBAD)

Las herramientas de detección de anomalías en el comportamiento de la red se utilizan junto con los sistemas de seguridad perimetral tradicionales, como el software antivirus, para proporcionar un mecanismo de seguridad adicional. Sin embargo, a diferencia del antivirus que protege la red contra amenazas conocidas, el NBAD verifica las actividades sospechosas que pueden comprometer las operaciones de la red ya sea infectando el sistema o mediante el robo de datos.

Supervisa el tráfico de la red en busca de desviaciones del volumen esperado de un parámetro de red medido, como paquetes, bytes, flujo y uso del protocolo. Una vez que se sospecha que una actividad es una amenaza, se generan los detalles de un evento, incluidos el delincuente y las direcciones IP objetivo, el puerto, el protocolo, la hora del ataque y más.

Las herramientas utilizan una combinación de métodos de detección de anomalías y firmas para verificar cualquier actividad inusual de la red y alertar a los administradores de red y de seguridad para que puedan analizar la actividad y detenerla o responder antes de que una amenaza afecte el sistema y los datos.

Los tres componentes principales de la supervisión del comportamiento de la red son los patrones de flujo de tráfico, los datos de rendimiento de la red y el análisis de tráfico pasivo. Esto permite que una organización detecte amenazas como:

  • Comportamiento inadecuado de la red: las herramientas detectan aplicaciones no autorizadas, actividad de red anómala o aplicaciones que utilizan puertos inusuales. Una vez detectado, el sistema de protección puede usarse para identificar y deshabilitar automáticamente la cuenta de usuario asociada con la actividad de la red.
  • Exfiltración de datos: supervisa los datos de comunicaciones salientes y activa una alarma cuando se detectan cantidades sospechosamente grandes de transferencia de datos. El sistema podría identificar aún más la aplicación de destino si está basada en la nube para determinar si es legítima o un caso de robo de datos.
  • Malware oculto: detecta malware avanzado que puede haber evadido la protección de seguridad del perímetro y se ha infiltrado en la organización / red corporativa.