I sistemi di rilevamento delle violazioni (BDS) sono una categoria di applicazioni e dispositivi di sicurezza progettati per rilevare l'attività di malware all'interno di una rete dopo che si è verificata una violazione.
L'IT aziendale utilizza BDS per proteggersi dalla varietà di minacce avanzate, in particolare malware non identificato. A differenza della sicurezza di livello 1, come un firewall o la prevenzione delle intrusioni, che esegue la scansione del traffico in entrata, BDS si concentra sulle attività dannose all'interno della rete che protegge. Determina possibili violazioni mediante diverse combinazioni di euristica, analisi del traffico, valutazione del rischio, traffico contrassegnato in modo sicuro, comprensione della politica dei dati e segnalazione delle violazioni. Utilizzando questi metodi, BDS è in grado di individuare a volte le violazioni nel momento in cui si verificano e altre volte rilevare violazioni e attacchi di canale laterale che non erano stati rilevati in precedenza.
BDS ha 3 diversi metodi di distribuzione:
- I sistemi fuori banda eseguono la scansione dei dati replicati dalle scansioni delle porte da uno switch o da un rubinetto di rete.
- I sistemi in linea vengono distribuiti tra la rete e l'interfaccia WAN proprio come i firewall di livello 1 e i sistemi di prevenzione delle intrusioni.
- Distribuzioni endpoint che utilizzano un client installato su macchine endpoint.
Le minacce persistenti avanzate (APT) hanno una serie di exploit che possono utilizzare su una destinazione, a seconda dei tipi di applicazioni Internet utilizzate dalla destinazione e delle probabili vulnerabilità. Esiste una tale varietà di minacce che è difficile o impossibile per l'IT essere a conoscenza di ogni possibilità. Il BDS aiuta a trovare le minacce sconosciute avanzate e adattive. Persino i principali siti Web sono stati violati; inoltre, la violazione media riuscita dura 16 mesi. In entrambi i casi, c'è sicuramente spazio per ridurre i danni. L'uso del BDS rappresenta un cambiamento nella filosofia dall'idea di prevenire ogni intrusione alla consapevolezza che le intrusioni avverranno e concentrarsi su come catturarle prima.
BDS deve essere configurato con dettagli come il sistema operativo, un elenco di applicazioni approvate e programmi autorizzati a connettersi a Internet. Una comprensione della superficie di attacco presentata dalla rete è fondamentale per impostare una distribuzione di successo. A tal fine, BDS può valutare le configurazioni rischiose, aiutando l'IT a limitare la superficie di attacco.
Le politiche sui dati possono influire sul tipo di BDS giusto per un'organizzazione. Alcuni BDS in ogni tipo di distribuzione inoltrano i propri dati al fornitore di servizi BDS per eseguire la post-elaborazione nel proprio cloud. Se è fondamentale, tuttavia, che i dati non vadano fuori sede, esistono anche fornitori BDS che offrono lo stesso livello di elaborazione in sede. I BDS sono un sistema di sicurezza di livello 2, a volte considerato sistemi di rilevamento delle intrusioni (IDS) di seconda generazione.