Lorsqu'il s'agit de données inexactes, qu'est-ce qui est le plus grave : un faux négatif ou un faux positif ? La question est un peu injuste, car bien sûr, personne ne veut ni l'un ni l'autre. Mais elle rappelle que les faux négatifs sont souvent considérés comme le type d'inexactitude le plus problématique. Un faux négatif signifie que quelque chose (généralement mauvais) n'a pas été détecté. Ce que vous cherchiez à découvrir existe bel et bien, mais vous ne l'avez pas trouvé. C'est le cas d'une radiographie qui n'a pas détecté une tumeur suspecte. Ou une analyse d'empreintes digitales qui n'a pas permis d'identifier correctement le criminel.
Les faux positifs, quant à eux, ont tendance à être considérés comme des fausses alertes inoffensives. Vous pensiez avoir trouvé quelque chose d'infâme, mais c'est en fait bénin. "Le médecin m'a dit que j'avais un diagnostic inquiétant, mais il s'avère que je suis en bonne santé. Ouf !
Toutefois, dans le domaine de la cybersécurité, les faux positifs peuvent être tout aussi problématiques que les faux négatifs. Manquer la preuve d'une menace malveillante (votre faux négatif) est une mauvaise chose, sans aucun doute. Mais perdre du temps et des ressources à enquêter sur quelque chose que vous pensez être malveillant, mais qui ne l'est pas (votre faux positif), c'est mauvais aussi.
Les faux positifs sont fréquents
Une nouvelle étude révèle que les chasseurs de menaces considèrent les faux positifs comme l'un de leurs principaux défis. Dans notre prochain rapport sur l'état de la chasse aux menaces, qui a interrogé plus de 200 chasseurs de menaces en Amérique du Nord et en Europe, les personnes interrogées ont déclaré que l 'élimination des faux positifs était l'une des trois choses qui leur faciliteraient le plus la tâche. Environ ⅓ des personnes interrogées ont déclaré que plus de 20 % des résultats de leur chasse aux menaces au cours de l'année écoulée étaient des faux positifs.
Censys Rapport sur l'état de la chasse aux menaces
Pourquoi les faux positifs posent-ils problème ?
1.Alerte Fatigue et désensibilisation
L'un des impacts les plus immédiats et les plus conséquents des faux positifs est la fatigue des alertes. Lorsque les équipes de sécurité sont inondées d'un flot d'alertes, dont beaucoup s'avèrent être de fausses alertes, la réaction naturelle est la désensibilisation. Avec le temps, les équipes peuvent devenir complaisantes ou, pire, ignorer complètement les alertes, créant ainsi un environnement où de véritables menaces pourraient passer inaperçues.
2. Perte de temps et d'efforts
Les faux positifs mobilisent l'attention, les investigations et les ressources des équipes. Chaque moment passé à traquer un événement bénin est un moment qui n'est pas consacré à la lutte contre les menaces réelles. Ce détournement de ressources peut entraîner des inefficacités et des contraintes inutiles pour les équipes de cybersécurité, les empêchant de se concentrer sur les véritables problèmes de sécurité.
3. Érosion de la confiance dans les outils de sécurité
L'apparition répétée de faux positifs érode la confiance que les équipes placent dans leurs outils de sécurité. Lorsque les chasseurs de menaces ne peuvent pas compter sur la précision de leurs outils, la crédibilité de l'ensemble de l'infrastructure de sécurité s'en trouve ébranlée. Cette érosion de la confiance peut avoir des conséquences considérables et rendre les organisations vulnérables aux menaces réelles.
4. Mauvaise prise de décision
Dans le pire des cas, les faux positifs peuvent inciter les dirigeants à prendre des décisions imprudentes. Si un RSSI estime que l'organisation est confrontée à une menace réellement crédible ou qu'elle a été victime d'une intrusion, il peut lancer une motion de réponse à l'incident qui implique d'alerter la direction, les membres du conseil d'administration, voire les clients. Revenir sur ce type d'alertes peut diminuer la confiance dans l'équipe de cybersécurité et la direction de l'organisation.
Causes courantes de faux positifs
1. Signatures trop agressives
Les outils de sécurité qui utilisent des méthodes de détection basées sur des signatures trop agressives peuvent déclencher des faux positifs en interprétant à tort une activité normale ou bénigne comme étant malveillante. Pour réduire la probabilité de faux positifs, il est essentiel d'adapter ces signatures afin de trouver le bon équilibre entre sensibilité et spécificité.
2. Absence d'analyse contextuelle
De nombreux outils de sécurité n'ont pas la connaissance du contexte nécessaire pour différencier les activités normales des activités suspectes. Sans une compréhension nuancée de l'environnement spécifique d'une organisation, ces outils peuvent signaler des actions de routine comme des menaces potentielles.
3. Renseignements Internet périmés et incomplets
L'efficacité de la chasse aux menaces repose en grande partie sur la qualité et la pertinence des renseignements fournis par Internet. Des flux de renseignements obsolètes ou incomplets peuvent donner lieu à des interprétations erronées qui se traduisent par des faux positifs. L'utilisation de sources de renseignements Internet complètes, précises et actualisées (c'est-à-dire dont les données sont rafraîchies quotidiennement plutôt qu'hebdomadairement) est primordiale pour garantir la précision et éliminer les faux positifs.
Outre les sources directes de renseignements sur Internet sur lesquelles les chasseurs de menaces peuvent s'appuyer, il est important de prendre en compte les renseignements qui alimentent leurs outils de chasse aux menaces. Les outils que vous utilisez s'appuient-ils sur des données fiables ?
Les faux positifs ne sont pas inévitables
Les chasseurs de menaces n'ont pas à accepter que les faux positifs omniprésents "fassent partie du territoire". En s'appuyant sur des renseignements Internet récents et complets, et en utilisant des outils capables d'exploiter l'analyse contextuelle, les faux positifs n'ont pas à être un fléau perpétuel pour vos enquêtes de chasse aux menaces.
Apprenez-en plus sur la façon dont Censys', un service d'intelligence Internet exclusif et à la pointe de l'industrie, aide à réduire la probabilité de faux positifs.