La sicurezza basata sul comportamento è un approccio proattivo alla sicurezza in cui tutte le attività rilevanti vengono monitorate in modo che le deviazioni dai normali modelli di comportamento possano essere identificate e gestite rapidamente. Poiché l'apprendimento automatico continua a migliorare, si prevede che questo approccio alla gestione della sicurezza svolga un ruolo importante nella protezione dei computer ai margini della rete.
Il software di sicurezza tradizionale è orientato alle firme: il software monitora i flussi di dati e confronta i dati in transito con le firme nella libreria di minacce note di un fornitore di antivirus. I programmi di sicurezza basati sul comportamento funzionano in modo leggermente diverso: monitorano anche i flussi di dati, ma poi confrontano l'attività del flusso di dati con una linea di base di comportamento normale e cercano anomalie. I prodotti di sicurezza basati sul comportamento utilizzano la matematica applicata e l'apprendimento automatico per contrassegnare gli eventi statisticamente significativi.
Sebbene possano ancora esserci casi in cui un'organizzazione deve scegliere tra software di sicurezza basato su firma e basato su anomalie, esiste un'ampia gamma di prodotti di rilevamento e prevenzione delle intrusioni che combinano entrambi gli approcci.
Vantaggi della sicurezza basata sul comportamento
In generale, gli strumenti basati sulla firma sono i migliori per identificare e respingere le minacce note, mentre quelli basati sul comportamento sono i migliori per combattere gli exploit zero-day che non sono ancora entrati in un elenco di firme di minacce note. La maggior parte dei programmi di sicurezza basati sul comportamento viene fornita con un set standard di criteri per i quali i comportamenti dovrebbero essere consentiti e che dovrebbero essere considerati sospetti, ma consentono anche agli amministratori di personalizzare i criteri e creare nuovi criteri.
Software di sicurezza basato sul comportamento
A seconda delle sue capacità, un prodotto software di sicurezza basato sul comportamento può essere commercializzato come un prodotto di rilevamento delle anomalie del comportamento di rete (NBAD), un prodotto di rilevamento delle intrusioni basato sul comportamento, un prodotto di analisi delle minacce comportamentali (BTA) o un'analisi del comportamento degli utenti (UBA) Prodotto. Alcuni prodotti per la sicurezza del comportamento sono abbastanza sofisticati da applicare algoritmi di apprendimento automatico ai flussi di dati in modo che gli analisti della sicurezza non debbano identificare cosa comprende il comportamento normale. Altri prodotti includono funzionalità biometriche comportamentali in grado di mappare comportamenti specifici, come modelli di digitazione, a comportamenti specifici dell'utente. La maggior parte dei prodotti dispone di sofisticati motori di correlazione per ridurre al minimo il numero di avvisi e falsi positivi.