Falsos Positivos em Cyber Security

/em

Imagine que você alertou sua equipe de TI sobre um erro crítico de infraestrutura que prejudica sua rede. Neste momento, você solicita que eles abandonem seu trabalho atual e se concentrem na correção imediata dessa vulnerabilidade detectada. Após uma investigação mais aprofundada, no entanto, descobriu-se que era um falso positivo.

Infelizmente, esses incidentes são comuns e custam tempo e mão de obra valiosos à sua organização. Mais preocupante ainda, eles desviam a atenção de questões legítimas de segurança.

É evidente que esta questão frustrante e crítica deve ser abordada. Neste artigo, exploraremos um pouco mais o que são Falsos Positivos em Cyber Security, abordando pontos importantes que devem ser analisados para que você possa restringir o foco de sua equipe para que eles possam identificar e responder às ameaças mais importantes.

O que é um alerta de falso positivo?

Um falso positivo na segurança cibernética refere-se a um alerta ou vulnerabilidade que foi sinalizado incorretamente, geralmente causado por um comportamento imprevisível desencadeado por um caso de teste. As imprecisões na resposta podem fazer com que as ferramentas de segurança destaquem uma falha onde na realidade, nenhuma está presente. Um exemplo disso seria um servidor web demorando 20ms a mais para responder, e o scanner acreditando que um teste de injeção de SQL baseado em tempo foi executado com sucesso.

Por que os falsos positivos são importantes na segurança cibernética?

Como vimos, os falsos positivos podem ter um impacto significativo na segurança cibernética. Eles podem enganar as equipes de segurança e desperdiçar tempo e recursos que poderiam ser melhor gastos na identificação e resposta a ameaças reais. Um estudo descobriu que 80% dos entrevistados afirmaram gastar muito tempo resolvendo alertas falsos positivos de seus sistemas de segurança. O relatório indicou uma tendência preocupante: 47% dos profissionais de segurança alegaram ter ignorado 50% ou mais desses avisos.

Os falsos positivos são especialmente problemáticos em sistemas de detecção e prevenção de intrusões (IDPS). Os IDPS são projetados para detectar e bloquear atividades maliciosas, mas geralmente geram falsos positivos. Esses diagnósticos errados muitas vezes fazem com que o IDPS seja desativado ou totalmente ignorado, deixando uma organização vulnerável a ataques.

Os falsos positivos devem ser tratados como ameaças potenciais e investigados em conformidade. As equipes de segurança também devem ter processos para identificar e resolver falsos positivos rapidamente.

Como posso reduzir falsos positivos em Cyber Security? 

As organizações estão lutando para encontrar o melhor método para gerenciar o problema da sobrecarga de alertas. Muitos estão contratando mais analistas de segurança ou simplesmente desativando recursos de segurança para lidar com o volume de alertas. No entanto, esta não é a solução que toda a indústria procura.

Você poderia reduzir o número de regras no gerenciamento de eventos e informações de segurança (SIEM), especialmente regras que são explicitamente projetadas apenas para um dispositivo ou sistema de rede específico que você não possui. Se você não tiver mais esse sistema ou dispositivo em sua rede, mas mantiver a regra, isso poderá criar falsos positivos. 

Evite o uso de regras padrão em um SIEM, pois elas são propensas a cometer erros ou são rotuladas incorretamente em alguns produtos. Você deverá executar mais iterações se a regra ainda disparar falsos positivos. As regras devem ser divididas em múltiplas sub-regras de natureza mais específica. Os analistas devem testar continuamente as regras até que parem de gerar falsos positivos.

Priorizar alertas é uma das melhores técnicas que um SOC pode utilizar para reduzir o tempo perdido na investigação de falsos positivos. Os alertas que têm a mais alta confiabilidade e estão vinculados à detecção de ameaças de alto nível devem receber a prioridade máxima. Isso permite que as equipes de segurança analisem ameaças desde a prioridade mais alta até a mais baixa, garantindo que alertas importantes sejam tratados primeiro. Por último, o ajuste, a inclusão na lista de permissões e a filtragem podem ajudar uma regra a funcionar com mais precisão, juntamente com exclusões aceitáveis que não exigem alertas.

Atualmente, também é fundamental investigar se o seu fabricante e fornecedor possui ferramentas de IA que possam te ajudar a reduzir falsos positivos. Hoje, é possível reduzir significativamente o esforço operacional com falsos positivos de forma automática, apenas utilizando recursos de IA que lhe auxiliam com esse desafio. 

Como a GoCache ajuda?

Como fabricante de soluções de cibersegurança, o time de P&D da GoCache está constantemente evoluindo seus produtos para gerarem a menor quantidade de falsos positivos possíveis.

Além disso, a GoCache oferece ferramentas de observabilidade como o Edge Insights, que permite com que o cliente analise os eventos de segurança e identifique rapidamente padrões de falsos positivos. Também oferecemos a opção de integrar os eventos de segurança da GoCache e enviá-los para alguma ferramenta de SIEM (Security Information and Event Management) como Wazuh, QRadar, Splunk, entre outros.

Por último, para clientes com equipes enxutas ou sem especialização em cibersegurança, oferecemos o serviço GoCache Managed Security, onde os especialistas da GoCache irão assumir o gerenciamento da ferramenta e garantir que elas estejam mitigando ataques com o máximo de assertividade, sem bloquear usuários legítimos.