Système de détection de brèche (BDS)

Les systèmes de détection de brèche (BDS) sont une catégorie d'applications et de dispositifs de sécurité conçus pour détecter l'activité de logiciels malveillants à l'intérieur d'un réseau après qu'une brèche se soit produite.

L'informatique d'entreprise utilise le BDS pour se protéger contre la variété des menaces avancées, en particulier les logiciels malveillants non identifiés.  Contrairement à la sécurité de niveau 1, comme un pare-feu ou une prévention des intrusions, qui analyse le trafic entrant, le BDS se concentre sur l'activité malveillante au sein du réseau qu'il protège. Il détermine les violations possibles en utilisant différentes combinaisons d'heuristiques, d'analyse du trafic, d'évaluation des risques, de marquage sécurisé du trafic, de compréhension des politiques de données et de rapports de violation. Grâce à ces méthodes, BDS est parfois capable de trouver des brèches au moment où elles se produisent et, à d'autres moments, de détecter des brèches et des attaques par canal latéral qui n'avaient pas été trouvées auparavant.

BDS dispose de 3 méthodes de déploiement différentes :

• Les systèmes hors bande analysent les données mises en miroir à partir des scans de port d'un commutateur ou d'une prise réseau.
• Les systèmes en ligne sont déployés entre le réseau et l'interface WAN tout comme les pare-feu de niveau 1 et les systèmes de prévention des intrusions.
• Les déploiements au niveau des points d'extrémité qui utilisent un client installé sur les machines des points d'extrémité.

Les menaces persistantes avancées (APT) ont un certain nombre d'exploits qu'elles peuvent utiliser sur une cible, en fonction des types d'applications Internet que la cible utilise et des vulnérabilités probables. Il existe une telle variété de menaces qu'il est difficile, voire impossible, pour l'informatique d'être au courant de toutes les possibilités. Le BDS aide à trouver les menaces avancées et adaptatives inconnues. Même de grands sites web ont été piratés ; de plus, une violation réussie dure en moyenne 16 mois. Sur ces deux points, il est certainement possible de réduire les dommages. L'utilisation de BDS représente un changement de philosophie, de l'idée de prévenir toute intrusion à celle de réaliser que les intrusions se produiront et de se concentrer sur la capture de ces intrusions plus tôt.

Les BDS doivent être configurés avec des détails tels que le système d'exploitation, une liste d'applications approuvées et les programmes autorisés à se connecter à Internet. Une compréhension de la surface d'attaque présentée par votre réseau est cruciale pour mettre en place un déploiement réussi. À cette fin, les BDS peuvent évaluer les configurations à risque, aidant ainsi l'IT à limiter la surface d'attaque.

Les politiques de données peuvent affecter le type de BDS qui convient à une organisation. Certains BDS de chaque type de déploiement renvoient leurs données au fournisseur de services BDS pour effectuer un post-traitement dans leur propre cloud. Toutefois, s'il est essentiel que les données ne soient pas envoyées hors site, il existe également des fournisseurs de BDS qui offrent le même niveau de traitement sur place. Les BDS sont un système de sécurité de niveau 2, parfois considéré comme des systèmes de détection d'intrusion (IDS) de 2e génération.