Breach detection systems (BDS) zijn een categorie applicaties en beveiligingsapparaten die zijn ontworpen om de activiteit van malware binnen een netwerk te detecteren nadat een inbreuk heeft plaatsgevonden.
Enterprise IT gebruikt BDS om bescherming te bieden tegen de verscheidenheid aan geavanceerde bedreigingen, met name niet-geïdentificeerde malware. In tegenstelling tot tier 1-beveiliging, zoals een firewall of intrusion prevention, die inkomend verkeer scannen, richt BDS zich op kwaadaardige activiteit binnen het netwerk dat het beschermt. Het stelt mogelijke inbreuken vast door verschillende combinaties van heuristiek, verkeersanalyse, risicobeoordeling, veilig gemarkeerd verkeer, inzicht in gegevensbeleid en rapportage van inbreuken. Met behulp van deze methoden is BDS in staat om soms inbreuken te vinden op het moment dat ze plaatsvinden en op andere momenten inbreuken en aanvallen via zijkanalen te detecteren die eerder niet waren gevonden.
BDS heeft 3 verschillende inzetmethoden:
- Out-of-band systemen scannen gegevens die worden gespiegeld door poortscans van een switch of netwerkaftakking.
- In-line systemen worden ingezet tussen het netwerk en de WAN-interface, net als tier 1 firewalls en intrusion prevention-systemen.
- Endpoint-implementaties die gebruikmaken van een client die op endpoint-machines is geïnstalleerd.
Advanced persistent threats (APT) hebben een aantal exploits die ze op een doelwit kunnen gebruiken, afhankelijk van welke soorten internettoepassingen het doelwit gebruikt en de waarschijnlijke kwetsbaarheden. Er zijn zoveel verschillende bedreigingen dat het voor IT moeilijk tot onmogelijk is om van elke mogelijkheid op de hoogte te zijn. BDS helpt bij het vinden van de onbekende geavanceerde en adaptieve bedreigingen. Zelfs grote websites zijn gehackt; bovendien duurt de gemiddelde succesvolle inbreuk 16 maanden. Op beide punten is er zeker ruimte om de schade te beperken. Het gebruik van BDS betekent een verschuiving in de filosofie van het idee dat elke inbraak moet worden voorkomen naar het besef dat inbraken zullen plaatsvinden en de nadruk op het eerder betrappen van die inbraken.
BDS moeten worden geconfigureerd met details zoals het besturingssysteem, een lijst van goedgekeurde toepassingen en programma's die verbinding mogen maken met het internet. Inzicht in het aanvalsoppervlak van uw netwerk is van cruciaal belang voor een succesvolle implementatie. Daarom kan BDS risicovolle configuraties beoordelen en IT helpen het aanvalsoppervlak te beperken.
Databeleid kan van invloed zijn op welk type BDS geschikt is voor een organisatie. Sommige BDS'en sturen bij elk type inzet hun gegevens terug naar de BDS-dienstverlener voor post-processing in hun eigen cloud. Als het echter van cruciaal belang is dat de gegevens niet offsite gaan, zijn er ook BDS-leveranciers die hetzelfde niveau van verwerking ter plaatse bieden. BDS zijn een tier 2-beveiligingssysteem, dat soms wordt beschouwd als de tweede generatie inbraakdetectiesystemen (IDS).