Erkennung von Netzwerkverhaltensanomalien (nbad)

Definition - Was bedeutet die Erkennung von Netzwerkverhaltensanomalien (NBAD)?

Die Erkennung von Netzwerkverhaltensanomalien (NBAD) ist die Echtzeitüberwachung eines Netzwerks auf ungewöhnliche Aktivitäten, Trends oder Ereignisse. Die Tools zur Erkennung von Netzwerkverhaltensanomalien werden als zusätzliche Tools zur Erkennung von Bedrohungen verwendet, um Netzwerkaktivitäten zu überwachen und allgemeine Warnungen zu generieren, die häufig eine weitere Bewertung durch das IT-Team erfordern.

Die Systeme können Bedrohungen erkennen und verdächtige Aktivitäten in Situationen stoppen, in denen herkömmliche Sicherheitssoftware unwirksam ist. Darüber hinaus schlagen die Tools vor, welche verdächtigen Aktivitäten oder Ereignisse einer weiteren Analyse bedürfen.

Technische.me erklärt die Erkennung von Netzwerkverhaltensanomalien (NBAD)

Die Tools zur Erkennung von Netzwerkverhaltensanomalien werden in Verbindung mit herkömmlichen Perimeter-Sicherheitssystemen wie Antivirensoftware verwendet, um einen zusätzlichen Sicherheitsmechanismus bereitzustellen. Im Gegensatz zum Antivirenprogramm, das das Netzwerk vor bekannten Bedrohungen schützt, prüft der NBAD jedoch verdächtige Aktivitäten, die den Betrieb des Netzwerks entweder durch Infektion des Systems oder durch Datendiebstahl beeinträchtigen können.

Es überwacht den Netzwerkverkehr auf Abweichungen vom erwarteten Volumen eines gemessenen Netzwerkparameters wie Pakete, Bytes, Fluss und Protokollnutzung. Sobald vermutet wird, dass eine Aktivität eine Bedrohung darstellt, werden die Details eines Ereignisses generiert, einschließlich der Täter- und Ziel-IPs, des Ports, des Protokolls, des Angriffszeitpunkts und mehr.

Die Tools verwenden eine Kombination aus Signatur- und Anomalieerkennungsmethoden, um ungewöhnliche Netzwerkaktivitäten zu überprüfen und die Sicherheits- und Netzwerkmanager zu alarmieren, damit sie die Aktivitäten analysieren und stoppen oder reagieren können, bevor eine Bedrohung das System und die Daten betrifft.

Die drei Hauptkomponenten der Überwachung des Netzwerkverhaltens sind die Verkehrsflussmuster, die Netzwerkleistungsdaten und die passive Verkehrsanalyse. Auf diese Weise kann eine Organisation Bedrohungen erkennen wie:

  • Unangemessenes Netzwerkverhalten - Die Tools erkennen nicht autorisierte Anwendungen, anomale Netzwerkaktivitäten oder Anwendungen über ungewöhnliche Ports. Nach der Erkennung kann das Schutzsystem verwendet werden, um das mit der Netzwerkaktivität verknüpfte Benutzerkonto zu identifizieren und automatisch zu deaktivieren.
  • Datenexfiltration - Überwacht ausgehende Kommunikationsdaten und löst einen Alarm aus, wenn verdächtig große Datenübertragungsmengen erkannt werden. Das System könnte die Zielanwendung in der Cloud weiter identifizieren, um festzustellen, ob sie legitim ist oder ob es sich um einen Datendiebstahl handelt.
  • Versteckte Malware - Erkennt erweiterte Malware, die sich möglicherweise dem Perimeter-Sicherheitsschutz entzogen und das Unternehmens- / Unternehmensnetzwerk infiltriert hat.