Falsos positivos, ¿falsa alarma o falso indicador?

El fantasma de la escasez de trabajadores calificados: también en el ámbito de la ciberseguridad la demanda de expertos en seguridad aumenta más rápidamente de lo que se puede satisfacer y los problemas que de ello pueden surgir son enormes.

Según el Informe sobre el estado global de la seguridad de Infoblox, muchas organizaciones no pueden responder a todos los incidentes de seguridad. Y esto en un momento en el que los ciberataques son cada vez más comunes. Con una fuerza laboral tan abrumada, no se deben desperdiciar recursos en amenazas a la seguridad que ni siquiera son reales.

¿Qué son los falsos positivos?

Las herramientas de seguridad deberían hacer sonar la alarma cuando identifiquen amenazas. Sin embargo, en la práctica no siempre se trata de amenazas reales. También son actividades normales que erróneamente se clasifican como amenazas. Por lo tanto, los llamados falsos positivos son en realidad inofensivos, pero aun así consumen recursos importantes.

Cuando un sistema activa una alarma, el equipo de seguridad debe investigarla. Pero si se trata de una falsa alarma, los expertos tienen que perder el tiempo ante una amenaza que no existe. Esto cuesta tiempo y recursos, que en casos extremos luego faltan en ataques reales.

Si se producen falsos positivos de forma continua y frecuente, también puede ocurrir que los equipos de seguridad descuiden o incluso ignoren los mensajes de alarma. En última instancia, se pasan por alto las amenazas reales. Esto compromete la eficacia de las medidas de seguridad.

Por lo tanto, los falsos positivos pueden tener efectos negativos reales en la seguridad de la red, por lo que a menudo se utilizan como una métrica importante para los equipos de ciberseguridad. ¿Pero qué pasa si esta cifra es exagerada?

¡También depende de los factores ambientales!

Para ilustrar esto, tomemos un ejemplo del área DNS. Imaginemos un algoritmo que detecta el 80% de todos los dominios maliciosos con los que se comunica una red. También estima incorrectamente que el 5% de los dominios legítimos también son maliciosos. Aplicamos este algoritmo a un conjunto de datos que contiene un total de 50 dominios, de los cuales el 20%, es decir, 10, son realmente maliciosos.

Luego, el algoritmo ofrece los siguientes resultados:

– 8 de los 10 dominios defectuosos están marcados como peligrosos.

– 2 de los 40 dominios legítimos están erróneamente marcados como peligrosos.

– 2 de los 10 dominios maliciosos no están marcados erróneamente como peligrosos.

– 38 de los 40 dominios legítimos están marcados como no peligrosos.

En este escenario ficticio, el algoritmo encuentra un total de 10 dominios maliciosos, dos de los cuales son realmente legítimos. La tasa de “falsos positivos” en este ejemplo es 2 sobre 10, es decir, 20%. A partir de la descripción del algoritmo, sería erróneo suponer que la tasa es del 5%. Con sólo 50 dominios, esto todavía es manejable.

Sin embargo, en realidad las redes se ocupan de muchos dominios. Muchas veces, con cifras de millones. Además, la proporción de dominios defectuosos suele estar muy por debajo del 10%. Por lo tanto, no es raro que el número de falsos positivos supere el número de verdaderos positivos.

¿Qué pasa si la red del ejemplo anterior no tiene 50 dominios para verificar, sino un millón? ¿Y el porcentaje de dominios malos es más realista del 5% en lugar del 20%? De hecho, hay entonces un total de 50.000 dominios maliciosos y 950.000 legítimos.

El algoritmo devuelve los siguientes números en este ejemplo:

– 40.000 de los 50.000 dominios maliciosos están marcados como peligrosos.

– 47.500 de los 950.000 dominios legítimos están incorrectamente marcados como peligrosos.

– 10.000 de los 50.000 dominios maliciosos están marcados incorrectamente como no peligrosos.

– 902.500 de los 950.000 dominios legítimos están marcados como no peligrosos.

En este ejemplo, la tasa de “falsos positivos” es del 54%, lo que ya supera a los verdaderos positivos. Pero, ¿cómo se obtienen esas cifras? En realidad, la respuesta es bastante simple. Los falsos positivos aumentan proporcionalmente al número de objetos. En otras palabras, cuanto mayor sea el conjunto de dominios legítimos, más falsos positivos se producirán. Además, la tasa se ve afectada por el desequilibrio entre dominios legítimos y maliciosos. Este es un ejemplo clásico de propagación de errores, que ocurre una y otra vez en ciberseguridad, el volumen es grande y el desequilibrio entre actividades legítimas y maliciosas extremo.

¡El impacto es lo que cuenta!

Muchos de los proveedores de soluciones de seguridad de red utilizan métodos de análisis estadístico y aprendizaje automático para proteger las redes de ataques. Sin embargo, tanto los expertos como los usuarios deben comprender que ni siquiera los mejores algoritmos son omnipotentes.

El rendimiento del análisis de amenazas varía según el entorno. Por lo tanto, la tasa de “falsos positivos” no es necesariamente el indicador más significativo. Lo que importa es cuán grande es el impacto real en la red y los recursos. Los impactos positivos y negativos deben considerarse como una medida de éxito, en lugar de intentar cuantificar únicamente los falsos positivos. Además, cada entorno es diferente, por lo que las soluciones de seguridad siempre deben adaptarse al entorno.

Sólo así se podrán satisfacer las necesidades individuales. Por lo tanto, los expertos en seguridad deberían examinar muy de cerca las cifras clave detrás de los algoritmos. Hoy en día ya son posibles tasas de “falsos positivos” del 0,00015%. Por ejemplo, mediante el uso de múltiples algoritmos estadísticos y no estadísticos. También son útiles otros métodos, como la estrategia del ser humano en el circuito y el uso de múltiples niveles de procesamiento. En general, una arquitectura DNS segura beneficia a la empresa. Garantiza servicios DNS confiables y utiliza inteligencia de amenazas DNS para reducir el “ruido” generado por falsos positivos que tiene un impacto real en los equipos de seguridad.