Wykrywanie anomalii zachowania sieci
Wykrywanie anomalii zachowania sieci ( NBAD ) to technika bezpieczeństwa, która zapewnia wykrywanie zagrożeń bezpieczeństwa sieci . Jest technologią komplementarną do systemów wykrywających zagrożenia bezpieczeństwa na podstawie sygnatur pakietów .
NBAD to ciągłe monitorowanie sieci pod kątem nietypowych zdarzeń lub trendów. NBAD jest integralną częścią analizy zachowania sieci (NBA), która zapewnia bezpieczeństwo oprócz tego zapewnianego przez tradycyjne aplikacje chroniące przed zagrożeniami, takie jak zapory ogniowe, systemy wykrywania włamań, oprogramowanie antywirusowe i oprogramowanie do wykrywania programów szpiegujących .
Opis
Większość systemów monitorowania bezpieczeństwa wykorzystuje podejście oparte na sygnaturach do wykrywania zagrożeń. Na ogół monitorują pakiety w sieci i szukają wzorców w pakietach, które pasują do ich bazy danych sygnatur reprezentujących wcześniej zidentyfikowane znane zagrożenia bezpieczeństwa. Systemy oparte na NBAD są szczególnie przydatne w wykrywaniu wektorów zagrożeń bezpieczeństwa w dwóch przypadkach, w których systemy oparte na sygnaturach nie mogą: (i) nowych ataków dnia zerowego oraz (ii) gdy ruch związany z zagrożeniami jest szyfrowany, np. Botnety.
Program NBAD śledzi krytyczne parametry sieci w czasie rzeczywistym i generuje alarm w przypadku wykrycia dziwnego zdarzenia lub trendu, które mogą wskazywać na obecność zagrożenia. Wielkoskalowe przykłady takich cech obejmują natężenie ruchu, wykorzystanie przepustowości i wykorzystanie protokołu.
Rozwiązania NBAD mogą również monitorować zachowanie poszczególnych abonentów sieci. Aby NBAD był optymalnie skuteczny, przez pewien okres czasu należy ustalić linię bazową normalnego zachowania sieci lub użytkownika. Po zdefiniowaniu pewnych parametrów jako normalnych każde odstępstwo od jednego lub kilku z nich jest oznaczane jako nieprawidłowe.
Technologia/techniki NBAD są stosowane w wielu domenach monitorowania sieci i bezpieczeństwa, w tym: (i) Analiza logów (ii) Systemy inspekcji pakietów (iii) Systemy monitorowania przepływu oraz (iv) Analiza tras .
NBAD został również opisany jako wykrywanie wartości odstających, wykrywanie nowości, wykrywanie odchyleń i eksploracja wyjątków.
Popularne wykrycia zagrożeń w NBAD
- Wykrywanie anomalii ładunku
- Anomalia protokołu: fałszowanie adresów MAC
- Anomalia protokołu: fałszowanie adresów IP
- Anomalia protokołu: fanout TCP / UDP
- Anomalia protokołu: Fanout IP
- Anomalia protokołu: zduplikowany adres IP
- Anomalia protokołu: zduplikowany adres MAC
- Wykrywanie wirusów
- Wykrywanie anomalii przepustowości
- Wykrywanie szybkości połączenia
Produkty komercyjne
- Sieci Palo Alto – Cortex XDR
- Darktrace — korporacyjny układ odpornościowy AI | Autonomiczna odpowiedź antygenowa
- Allot Communications – Allot Communications Protection DDoS Protection
- Arbor Networks NSI – Arbor Network Security Intelligence
- Cisco – Stealthwatch (dawniej Lancope StealthWatch)
- IBM – QRadar (od 2003)
- Sieci Enterasys – Enterasys Dragon
- Exinda — wbudowana (wynik wydajności aplikacji (APS), wskaźnik wydajności aplikacji (APM), umowa SLA i odpowiedź adaptacyjna)
- Sieci ExtraHop — Reveal(x)
- Flowmon Networks – Flowmon ADS
- FlowNBA – NetFlow
- Juniper Networks – STRM
- Fidelis Cyberbezpieczeństwo – Bezpieczeństwo sieci
- Ostatni wiersz
- McAfee — analiza zachowań zagrożeń sieciowych firmy McAfee
- HP ProCurve — menedżer odporności sieci
- Technologia Riverbed – Riverbed Cascade
- Sourcefire – Sourcefire 3D
- Symantec — zaawansowana ochrona przed zagrożeniami firmy Symantec
- GREYCORTEX – Mendel (dawniej TrustPort Threat Intelligence)
- Vectrę AI
- ZOHO Corporation — moduł zaawansowanej analizy bezpieczeństwa ManageEngine NetFlow Analyzer
- Microsoft Corp — usługa Windows Defender ATP i zaawansowana analiza zagrożeń
- Vehere - PacketWorker Network Detection and Response