Los falsos positivos no deberían tomarse como los indicadores clave
Los falsos positivos no solo son ‘piedrecillas en el zapato’ para los equipos de ciberseguridad, sino que se consideran indicadores de su efectividad en el análisis de amenazas. Pero es más importante el impacto de una buena protección, dice Infoblox.
La demanda de expertos en ciberseguridad aumenta más rápidamente de lo que se puede satisfacer y los problemas que de ello pueden surgir son enormes. Según el “Informe sobre el estado global de la seguridad” de Infoblox, muchas organizaciones no pueden responder a todos los incidentes de seguridad, en un momento en el que los ciberataques son cada vez más comunes. Con una fuerza laboral tan abrumada, desperdiciar recursos en amenazas que ni siquiera son reales puede traer grandes descuidos.
Los falsos positivos, explica el fabricante de seguridad para redes, son alarmas lanzadas por los sistemas de ciberseguridad que no advierten sobre amenazas reales, sino sobre actividades que erróneamente se clasifican como amenazas. Por lo tanto, a pesar de que en realidad son inofensivos, consumen recursos importantes ya que cuando un sistema activa una alarma, el equipo de seguridad debe investigarla. “Esto cuesta tiempo y recursos, que en casos extremos luego faltan en ataques reales”, señala Infoblox.
La empresa comenta que, si se producen falsos positivos de forma continua y frecuente, también puede ocurrir que los equipos de seguridad descuiden o incluso ignoren los mensajes de alarma. “En última instancia, se pasan por alto las amenazas reales. Esto compromete la eficacia de las medidas de seguridad”, dicen, en un comunicado.
Para ilustrar el tema, Infoblox toma el ejemplo del área DNS. “Imaginemos un algoritmo que detecta el 80 % de todos los dominios maliciosos con los que se comunica una red. También estima incorrectamente que el 5 % de los dominios legítimos también son maliciosos. Aplicamos este algoritmo a un conjunto de datos que contiene un total de 50 dominios, de los cuales el 20 %, es decir, 10, son realmente maliciosos”. En este escenario, el algoritmo ofrece los siguientes resultados:
- 8 de los 10 dominios defectuosos se marcan como peligrosos;
- 2 de los 40 dominios legítimos se marcan erróneamente como peligrosos;
- 2 de los 10 dominios maliciosos no se marcan erróneamente como peligrosos;
- 38 de los 40 dominios legítimos se marcan como no peligrosos.
En este ejemplo ficticio, el algoritmo encontró un total de 10 dominios maliciosos, dos de los cuales son realmente legítimos. La tasa de "falsos positivos" en este ejemplo es de 2 sobre 10, es decir, 20 %. A partir de la descripción del algoritmo, sería erróneo suponer que la tasa es del 5 %.
“Con sólo 50 dominios, esto todavía es manejable. Sin embargo, en realidad las redes se ocupan de muchos dominios. Muchas veces, con cifras de millones. Además, la proporción de dominios defectuosos suele estar muy por debajo del 10 %. Por lo tanto, no es raro que el número de falsos positivos supere el número de verdaderos positivos”, añade Infoblox.
Pero con un millón de dominios para verificar y un porcentaje de dominios malos más cerca del 5 % que del 20 %, por ejemplo, se tendría entonces un total de 50.000 dominios maliciosos y 950.000 legítimos. En este ejemplo, la tasa de “falsos positivos” llegaría al 54 %, superando a los verdaderos positivos porque, explica la empresa de seguridad de redes, los falsos positivos aumentan proporcionalmente al número de objetos. En otras palabras, cuanto mayor sea el conjunto de dominios legítimos, más falsos positivos se producirán.
El impacto es lo que cuenta
Muchos proveedores de soluciones de seguridad de red utilizan métodos de análisis estadístico y aprendizaje automático para proteger las redes de ataques. Sin embargo, tanto los expertos como los usuarios deben comprender que ni siquiera los mejores algoritmos son omnipotentes.
“El rendimiento del análisis de amenazas varía según el entorno. Por lo tanto, la tasa de ‘falsos positivos’ no es necesariamente el indicador más significativo. Lo que importa es cuán grande es el impacto real en la red y los recursos. Los impactos positivos y negativos deben considerarse como una medida de éxito, en lugar de intentar cuantificar únicamente los falsos positivos. Además, cada entorno es diferente, por lo que las soluciones de seguridad siempre deben adaptarse al entorno”, refieren desde Infoblox.
Por ello, los expertos en seguridad deberían examinar muy de cerca las cifras clave detrás de los algoritmos, recomienda el fabricante. “Hoy en día ya son posibles tasas de falsos positivos del 0,00015 %, por ejemplo, mediante el uso de múltiples algoritmos estadísticos y no estadísticos. También son útiles otros métodos, como la estrategia del ser humano en el circuito y el uso de múltiples niveles de procesamiento”, afirman.
En general, subraya Infoblox, una arquitectura DNS segura beneficia a la empresa, garantiza servicios DNS confiables y utiliza inteligencia de amenazas DNS para reducir el ‘ruido’ generado por falsos positivos, que tiene un impacto real en los equipos de seguridad.