Cuando se trata de datos inexactos, ¿qué es peor: un falso negativo o un falso positivo? La pregunta es un poco injusta, porque, por supuesto, nadie quiere ninguno de los dos. Pero nos recuerda que los falsos negativos suelen considerarse el tipo de inexactitud más problemático. Un falso negativo significa que se ha pasado por alto algo (normalmente malo). Lo que querías descubrir está ahí, pero no lo has encontrado. Por ejemplo, una radiografía que no detecta un tumor sospechoso. O un análisis de huellas dactilares que no identifica correctamente al delincuente.
En cambio, los falsos positivos suelen considerarse falsas alarmas inofensivas. Pensabas que habías encontrado algo nefasto, pero en realidad es benigno. "El médico me dijo que tenía un diagnóstico preocupante, pero resulta que estoy sano". ¡Uf!
Sin embargo, en el ámbito de la ciberseguridad, los falsos positivos pueden ser tan problemáticos como los falsos negativos. Perder pruebas de una amenaza maliciosa (su falso negativo) es malo, sin duda. Pero agotar tiempo y recursos investigando algo que crees que es malicioso, pero no lo es (tu falso positivo), también es malo.
Los falsos positivos son frecuentes
Un nuevo estudio revela que los cazadores de amenazas consideran los falsos positivos como uno de sus principales retos. En nuestro próximo Informe sobre el estado de la caza de amenazas, en el que se encuestó a más de 200 cazadores de amenazas de Norteamérica y Europa, los encuestados afirmaron que eliminar los falsos positivos era una de las tres cosas que más les facilitaría el trabajo. Aproximadamente ⅓ de los encuestados dijeron que más del 20% de sus resultados de caza de amenazas en el último año fueron falsos positivos.
Censys Informe sobre el estado de la caza de amenazas
Por qué son problemáticos los falsos positivos
1.Fatiga y desensibilización
Uno de los efectos más inmediatos y graves de los falsos positivos es la fatiga de las alertas. Cuando los equipos de seguridad se ven inundados por un aluvión de alertas, muchas de las cuales resultan ser falsas alarmas, la respuesta natural es la insensibilización. Con el tiempo, los equipos pueden volverse complacientes o, peor aún, ignorar las alertas por completo, creando un entorno en el que las amenazas reales podrían pasar desapercibidas.
2. Pérdida de tiempo y esfuerzo
Los falsos positivos exigen a los equipos atención, investigación y recursos. Cada momento que se pierde persiguiendo un evento benigno es un momento que no se dedica a abordar las amenazas reales. Este desvío de recursos puede provocar ineficiencias y una tensión innecesaria en los equipos de ciberseguridad, lo que dificulta su capacidad para centrarse en los problemas de seguridad reales.
3. Erosión de la confianza en las herramientas de seguridad
La aparición repetida de falsos positivos erosiona la confianza que los equipos depositan en sus herramientas de seguridad. Cuando los cazadores de amenazas no pueden confiar en la precisión de sus herramientas, se socava la credibilidad de toda la infraestructura de seguridad. Esta erosión de la confianza puede tener consecuencias de largo alcance, dejando a las organizaciones potencialmente vulnerables ante amenazas reales.
4. Mala toma de decisiones
En el peor de los casos, los falsos positivos pueden llevar a los directivos a tomar decisiones imprudentes. Si un CISO cree que la organización se enfrenta a una amenaza realmente creíble, o que ha sido vulnerada con éxito, puede lanzar un movimiento de respuesta a incidentes que implique alertar a la alta dirección, a los miembros del consejo o incluso a los clientes. Dar marcha atrás en este tipo de alertas puede disminuir la confianza en el equipo de ciberseguridad y el liderazgo de la organización.
Causas comunes de falsos positivos
1. Firmas demasiado agresivas
Las herramientas de seguridad que emplean métodos de detección basados en firmas demasiado agresivas pueden provocar falsos positivos al interpretar erróneamente una actividad normal o benigna como maliciosa. Ajustar estas firmas para lograr un equilibrio adecuado entre sensibilidad y especificidad es crucial para reducir la probabilidad de falsos positivos.
2. Falta de análisis contextual
Muchas herramientas de seguridad carecen del conocimiento contextual necesario para diferenciar entre actividades normales y sospechosas. Sin un conocimiento matizado del entorno específico de una organización, estas herramientas pueden señalar acciones rutinarias como amenazas potenciales.
3. Inteligencia de Internet obsoleta e incompleta
La eficacia de la detección de amenazas depende en gran medida de la calidad y la pertinencia de la inteligencia de Internet. Las fuentes de inteligencia desactualizadas o incompletas pueden dar lugar a interpretaciones erróneas que resulten en falsos positivos. El uso de fuentes de inteligencia de Internet completas, precisas y actualizadas (es decir, que los datos se actualicen diariamente en lugar de semanalmente) es fundamental para garantizar la precisión y eliminar los falsos positivos.
Además de las fuentes directas de inteligencia de Internet en las que pueden basarse los cazadores de amenazas, es importante tener en cuenta la inteligencia que alimenta sus herramientas de caza de amenazas. Las herramientas que utilizan, ¿se basan en datos fiables?
Los falsos positivos no son inevitables
Los cazadores de amenazas no tienen que aceptar que los falsos positivos omnipresentes "vienen con el territorio". Al basarse en inteligencia de Internet fresca y completa, y al utilizar herramientas con la capacidad de aprovechar el análisis consciente del contexto, los falsos positivos no tienen por qué plagar perpetuamente sus investigaciones de caza de amenazas.
Obtenga más información sobre cómo la inteligencia de Internet patentada y líder del sector de Censysayuda a reducir la probabilidad de falsos positivos.