Il rilevamento delle anomalie del comportamento di rete (NBAD) è una tecnica di sicurezza utilizzata per monitorare una rete alla ricerca di segni di attività insolita. Questa tecnica è progettata per combaciare con più livelli di sicurezza per fornire una protezione completa ed è realizzata con l’uso di un programma per computer che monitora la rete su base continua. Numerose aziende realizzano programmi progettati per il rilevamento di anomalie del comportamento di rete in varie impostazioni.
Il programma stabilisce innanzitutto una linea di base, osservando il normale comportamento della rete e dell’utente. Con queste informazioni, può iniziare a identificare anomalie che potrebbero indicare una minaccia alla sicurezza. Le minacce alla sicurezza potrebbero includere virus e worm, il rilascio non autorizzato di informazioni sensibili e problemi simili. Il rilevamento delle anomalie del comportamento di rete può essere utilizzato anche per identificare le violazioni dei termini di utilizzo. Su una rete universitaria, ad esempio, il download di materiale protetto da copyright può essere proibito e il programma può identificare gli utenti che stanno scaricando grandi quantità di dati, il che potrebbe sembrare suggerire che siano coinvolti nella pirateria di software, musica o film.
Un vantaggio del rilevamento delle anomalie del comportamento di rete è che può essere utilizzato per affrontare gli exploit zero day. Gli exploit zero day si verificano quando un virus viene rilasciato per la prima volta o quando le persone identificano per la prima volta una falla nella sicurezza. Nel “giorno zero”, i programmi software antivirus e di sicurezza non hanno ancora identificato un profilo che potrebbe essere utilizzato per prevenire tali exploit. Il rilevamento delle anomalie del comportamento di rete, tuttavia, non deve cercare un profilo particolare, cerca solo attività insolite, il che significa che può identificare qualcosa come un virus prima che il programma antivirus sia stato aggiornato.
Quando un programma di rilevamento delle anomalie del comportamento di rete identifica qualcosa che ritiene insolito, invierà un avviso a un amministratore. L’amministratore può determinare cosa sta succedendo e decidere se intraprendere o meno un’azione. Ad esempio, un aumento del traffico in uscita potrebbe essere il risultato del caricamento di un progetto di grandi dimensioni su un server esterno, il che significa che non è necessario intraprendere alcuna azione. Al contrario, un computer che invia improvvisamente migliaia di e-mail potrebbe essere infettato da un virus, rendendo necessaria l’azione per proteggere il resto della rete dall’infezione.
Questa tecnica di sicurezza può essere utilizzata su reti di tutte le dimensioni. Il programma utilizzato per eseguire il rilevamento delle anomalie del comportamento di rete può essere solitamente personalizzato per soddisfare esigenze particolari. Ad esempio, al programma può essere detto di scollegare un computer da una rete se mostra segni evidenti di problemi di sicurezza o violazioni dei termini di utilizzo.