Sistemas de detecção de violação (BDS) são uma categoria de aplicativos e dispositivos de segurança projetados para detectar a atividade de malware dentro de uma rede após a ocorrência de uma violação.
Enterprise IT usa o BDS para proteger contra a variedade de ameaças avançadas, especialmente malware não identificado. Ao contrário da segurança de camada 1, como um firewall ou prevenção de intrusão, que verifica o tráfego de entrada, o BDS se concentra na atividade maliciosa dentro da rede que protege. Ele determina possíveis violações através de diferentes combinações de heurísticas, análise de tráfego, avaliação de risco, tráfego seguro marcado, entendimento da política de dados e relatórios de violação. Usando esses métodos, o BDS é capaz de encontrar violações à medida que elas ocorrem e, em outras ocasiões, detectar violações e ataques de canal lateral que não tinham sido previamente encontrados.
BDS tem 3 métodos diferentes de implantação:
- Sistemas fora de banda varrem os dados espelhados a partir de varreduras de portas de um switch ou tap de rede.
- Os sistemas em linha são implantados entre a rede e a interface WAN como firewalls de camada 1 e sistemas de prevenção de intrusão.
- Endpoint deployments que usam um cliente instalado em máquinas endpoint.
Ameaças persistentes avançadas (APT) têm um número de exploits que podem ser usados em um alvo, dependendo dos tipos de aplicações Internet que o alvo usa e prováveis vulnerabilidades. Há uma tal variedade de ameaças que é difícil de impossível para a TI estar ciente de todas as possibilidades. O BDS ajuda a encontrar as ameaças avançadas e adaptativas desconhecidas. Mesmo os principais sites foram invadidos; além disso, a quebra média de sucesso dura 16 meses. Em ambos os casos, certamente há espaço para reduzir os danos. O uso do BDS representa uma mudança na filosofia de evitar toda intrusão para perceber que as intrusões acontecerão e focar na captura dessas intrusões mais cedo.
BDS precisa ser configurado com detalhes como sistema operacional, uma lista de aplicativos aprovados e programas permitidos para se conectar à Internet. Uma compreensão da superfície de ataque apresentada pela sua rede é crucial para a configuração de uma implantação bem-sucedida. Para isso, o BDS pode avaliar configurações arriscadas, ajudando a TI a limitar a superfície de ataque.
Políticas de dados podem afetar o tipo de BDS adequado para uma organização. Alguns BDS em cada tipo de implantação encaminham seus dados de volta para o provedor de serviços BDS para fazer pós-processamento em sua própria nuvem. Se for crítico, porém, que os dados não saiam do local, há também fornecedores de BDS que oferecem o mesmo nível de processamento nas instalações. BDS são um sistema de segurança tier 2, às vezes considerado sistemas de detecção de intrusão de segunda geração (IDS).