Definition

Breach Detection System (BDS)

IT-Teams in Unternehmen nutzen Systeme zur Erkennung von Sicherheitsverletzungen (Breach Detection Systems, BDS) zum Schutz vor einer Vielzahl von fortschrittlichen Bedrohungen, insbesondere vor nicht identifizierter Schadsoftware. Im Gegensatz zu Tier-1-Security-Lösungen wie Firewalls oder Intrusion-Prevention-Systemen (IPS), die sich mit eingehendem Datenverkehr beschäftigen, konzentrieren sich BDS auf bösartige Aktivitäten innerhalb des zu schützenden Netzwerks.

Ein BDS ermittelt mögliche Verstöße durch unterschiedliche Kombinationen von Heuristiken, Traffic-Analysen, Risikobewertungen, sicher gekennzeichnetem Traffic und einem Verständnis des internen Datenverkehrs. Mit diesen Methoden ist ein BDS in der Lage manchmal Verstöße zu entdecken, wenn diese auftreten. Und manchmal werden Verstöße über Seitenkanäle aufgespürt, die zuvor nicht gefunden wurden.

Bei Breach-Detection-Systeme existieren unterschiedliche Formen der Bereitstellung:

  • Out-of-Band-Systeme scannen Daten, die von Port-Scans eines Switches oder an anderer Stelle gespiegelt werden.
  • Inline-Systeme befinden sich wie Firewalls oder Intrusion-Prevention-Systeme zwischen Netzwerk und WAN-Anbindung.
  • Endpunktbereitstellung verwenden einen Client auf dem Endpunkt.

Advanced Persistent Threats (APT) verfügen häufig über eine Reihe von Exploits, die sie auf dem Ziel anwenden können, nachdem welche Anwendungen auf dem Ziel sind und welche Schwachstellen es wahrscheinlich hat. Es gibt eine derartige Vielfalt von Bedrohungen, dass es schwierig bis unmöglich ist, alle Eventualitäten zu kennen. Ein BDS kann IT-Teams bei der Suche nach unbekannten und adaptiven Bedrohungen unterstützen. Der Einsatz eines BDS stellt einen Wechsel in der Philosophie dar, weg von der Idee, jedes Eindringen zu verhindern. Es wird vorausgesetzt, dass es zum Eindringen ins Netzwerk kommen kann, und man sich auf das frühzeitige Erkennen dieser Eindringliche konzentriert.

Eine BDS-Lösung muss mit Informationen wie den Betriebssystemen, einer Liste der zugelassenen Anwendungen und Programmen, die eine Verbindung zum Internet herstellen dürfen, konfiguriert werden. Zudem ist ein Verständnis der Angriffsfläche, die ein Netzwerk bietet, für die Einrichtung einer erfolgreichen Bereitstellung entscheidend. Das BDS kann risikoreiche Konfigurationen bewerten und der IT-Abteilung helfen, die Angriffsfläche zu begrenzen.

Einige BDS-Anbieter verarbeiten die Daten in der Cloud, andere lokal im Rechenzentrum vor Ort, das müssen Unternehmen im Hinblick auf ihre Datenrichtlinien berücksichtigen.

Diese Definition wurde zuletzt im Februar 2022 aktualisiert

Erfahren Sie mehr über Bedrohungen