Sistema de detección de infracciones (BDS)

Los sistemas de detección de infracciones (BDS) son una categoría de aplicaciones y dispositivos de seguridad diseñados para detectar la actividad de malware dentro de una red después de que se ha producido una infracción.

La TI empresarial utiliza BDS para protegerse contra una variedad de amenazas avanzadas, especialmente malware no identificado. A diferencia de la seguridad de nivel 1, como un firewall o prevención de intrusiones, que escanea el tráfico entrante, BDS se enfoca en la actividad maliciosa dentro de la red que protege. Determina posibles infracciones mediante diferentes combinaciones de heurística, análisis de tráfico, evaluación de riesgos, tráfico marcado seguro, comprensión de la política de datos e informes de infracciones. Con estos métodos, BDS a veces puede encontrar infracciones a medida que ocurren y en otras ocasiones detectar infracciones y ataques de canal lateral que no se habían encontrado previamente.

BDS tiene 3 métodos de implementación diferentes:

  • Los sistemas fuera de banda escanean datos reflejados de escaneos de puertos desde un conmutador o toma de red.
  • Los sistemas en línea se implementan entre la red y la interfaz WAN al igual que los firewalls de nivel 1 y los sistemas de prevención de intrusiones.
  • Implementaciones de puntos finales que utilizan un cliente instalado en máquinas de punto final.

Las amenazas persistentes avanzadas (APT) tienen una serie de exploits que pueden usar en un objetivo, según los tipos de aplicaciones de Internet que utilice el objetivo y las posibles vulnerabilidades. Existe tal variedad de amenazas que es difícil o imposible que TI esté al tanto de todas las posibilidades. BDS ayuda a encontrar las amenazas avanzadas y adaptativas desconocidas. Incluso los principales sitios web han sido pirateados; además, la infracción exitosa promedio dura 16 meses. En ambos aspectos, ciertamente hay margen para reducir los daños. El uso de BDS representa un cambio en la filosofía de la idea de prevenir cada intrusión a darse cuenta de que las intrusiones ocurrirán y enfocarse en detectar esas intrusiones antes.

BDS debe configurarse con detalles como el sistema operativo, una lista de aplicaciones aprobadas y programas que se pueden conectar a Internet. La comprensión de la superficie de ataque que presenta su red es crucial para configurar una implementación exitosa. Con ese fin, BDS puede evaluar configuraciones de riesgo, lo que ayuda a TI a limitar la superficie de ataque.

Las políticas de datos pueden afectar el tipo de SDE adecuado para una organización. Algunos BDS en cada tipo de implementación reenvían sus datos al proveedor de servicios de BDS para realizar el posprocesamiento en su propia nube. Sin embargo, si es crítico que los datos no se transfieran al sitio, también hay proveedores de BDS que ofrecen el mismo nivel de procesamiento en las instalaciones. Los BDS son un sistema de seguridad de nivel 2, a veces considerados sistemas de detección de intrusos (IDS) de segunda generación.