Segurança baseada em comportamento é uma abordagem proativa à segurança na qual todas as atividades relevantes são monitoradas para que os desvios dos padrões de comportamento normais possam ser identificados e tratados rapidamente. À medida que a aprendizagem da máquina continua a melhorar, espera-se que esta abordagem ao gerenciamento da segurança desempenhe um papel importante na segurança da computação no limite da rede.
O software de segurança tradicional é orientado para assinaturas: o software monitora fluxos de dados e compara dados em trânsito com assinaturas na biblioteca de ameaças conhecidas de um fornecedor de antivírus. Programas de segurança baseados em comportamento funcionam um pouco diferente -- eles monitoram fluxos de dados também, mas depois comparam a atividade do fluxo de dados com uma linha de base de comportamento normal e procuram por anomalias. Produtos de segurança baseados em comportamento usam matemática aplicada e aprendizagem de máquina para sinalizar eventos que são estatisticamente significativos.
Embora ainda possa haver casos em que uma organização precise escolher entre software de segurança baseado em assinatura e software de segurança baseado em anomalias, há uma ampla gama de produtos de detecção e prevenção de intrusão que combinam ambas as abordagens.
Vantagens da segurança baseada em comportamento
Em geral, ferramentas baseadas em assinaturas são melhores para identificar e repelir ameaças conhecidas, enquanto baseadas em comportamento são melhores para combater exploits de dia-zero que ainda não tenham chegado a uma lista de assinaturas de ameaças conhecidas. A maioria dos programas de segurança baseados em comportamento vêm com um conjunto padrão de políticas para as quais comportamentos devem ser permitidos e que devem ser considerados suspeitos, mas também permitem aos administradores personalizar as políticas e criar novas políticas.
Software de segurança baseado em comportamento
Dependente de suas capacidades, um produto de software de segurança baseado em comportamento pode ser comercializado como um produto de detecção de anomalias de comportamento de rede (NBAD), um produto de detecção de intrusão baseado em comportamento, um produto de análise de ameaças de comportamento (BTA) ou um produto de análise de comportamento do usuário (UBA). Alguns produtos de segurança comportamental são sofisticados o suficiente para aplicar algoritmos de aprendizagem de máquina aos fluxos de dados, de modo que os analistas de segurança não precisam identificar o que compreende o comportamento normal. Outros produtos incluem características biométricas comportamentais capazes de mapear comportamentos específicos, como padrões de digitação, para comportamentos específicos do usuário. A maioria dos produtos tem sofisticados motores de correlação para minimizar o número de alertas e falsos positivos.