Las soluciones de ciberseguridad pueden generar falsos positivos, bien conocidos por los miembros de los SOC y que son responsables en parte de la "alert fatigue". Este fenómeno, que ha surgido en los últimos años, se refiere a la acumulación de eventos de seguridad y "ruido" que un administrador tiene que gestionar a diario. Pero estos eventos también pueden ser responsables del bloqueo de la actividad de los empleados. Falsos positivos y ciberseguridad: descifrar un fenómeno informático.
Según el informe de fatiga por alertas 2022 de Orca Security, el 20% de las alertas de seguridad en la nube se clasifican como falsos positivos. Además del impacto directo en los empleados y el impacto mental en los equipos humanos de TI, ¿cuáles son las repercusiones en la seguridad de la empresa? ¿Cuál es el origen y cómo se puede contener? Se lo explicamos.
Falsos positivos: un obstáculo en el camino
¿Qué es un falso positivo? Un falso positivo es una falsa alerta, notificación o reacción ante una situación que se asemeja a un problema o incluso a una amenaza para un activo informático o para la red de una empresa. Estos falsos positivos pueden generarse, por ejemplo, por una mala interpretación por parte de los miembros del SOC, o directamente por soluciones de ciberseguridad como EDR (Endpoint Detection & Response), cortafuegos y otros sistemas de prevención de pérdida/fuga de datos (DLP), en forma de un flujo de datos legítimo considerado peligroso, un sitio web legítimo considerado malicioso o un mensaje legítimo considerado indeseable, etc.
¿Cuáles son los riesgos de generar falsos positivos? La generación de falsos positivos en ciberseguridad puede afectar a toda o parte de la organización y producir una serie de disfunciones en la cadena de toma de decisiones en materia de seguridad informática.
- Un impacto en la operativa del negocio: al desencadenar acciones correctivas automáticas en respuesta a falsos positivos, pueden producirse interrupciones del servicio. Al analizar erróneamente la información, algunas soluciones de protección impedirán el funcionamiento de una herramienta o el acceso a un recurso, cuando en realidad ambos son legítimos. El resultado: los empleados no pueden trabajar.
- Reducción de la confianza en las soluciones de detección: la generación repetida de falsos positivos puede conducir no sólo a una pérdida de confianza de los empleados en las soluciones y la protección, sino también a una pérdida de confianza de los analistas en la utilidad de los sistemas de detección. El índice de adopción de las soluciones disminuye, al igual que el nivel de vigilancia, lo que favorece la aparición de amenazas reales.
- Una pérdida de tiempo y recursos: en un entorno general en el que la carga de trabajo de los departamentos de seguridad ya es muy pesada, la presencia de falsos positivos obliga a realizar comprobaciones adicionales. Este paso innecesario hace perder tiempo y reduce la eficacia operativa, distrayendo a los expertos de las acciones a las que realmente hay que dar prioridad. Según el mismo estudio de Orca, más de la mitad de los encuestados afirmaron que su equipo había pasado por alto alertas críticas en el pasado debido a una priorización ineficaz de las alertas, a menudo semanal o incluso diaria.
Este fenómeno también se está observando en entornos industriales debido a problemas de comunicación, como informa Vincent Nicaise, responsable de socios industriales y ecosistema de Stormshield: ”No es raro que se programe el mantenimiento de una máquina sin notificación previa al equipo del SOC. En estos casos, el técnico llega al lugar y realiza las modificaciones. Esta operación de mantenimiento genera un tráfico que los miembros del SOC pueden interpretar como una anomalía. Se inicia entonces una investigación: el equipo humano del SOC informa al equipo local de una posible anomalía y solicita una comprobación in situ. Pero al final, queda claro que se trataba simplemente de una operación de mantenimiento, y toda la fase de detección y verificación ha consumido tiempo y recursos para nada”.
¿Cómo se pueden reducir los falsos positivos?
Detrás de esta primera pregunta se esconde otra más amplia, que incluye el riesgo opuesto de los falsos negativos: ¿es mejor bloquear demasiado, en lugar de demasiado poco? Y detrás de esta sugerencia deliberadamente provocadora se esconde el eterno debate que rodea a los proyectos de seguridad e incluso a la integración de los productos de seguridad en las operaciones del día a día de los departamentos. Al fin y al cabo, si un producto de seguridad bloquea "demasiado", incluidos usos y programas legítimos, se corre el riesgo de que la base de usuarios lo rechace. Los usuarios intentarán entonces evitar el uso de este producto de seguridad, o incluso desinstalarlo... ”Todo es cuestión de medición”, explica Edouard Simpère, responsable de inteligencia sobre amenazas de Stormshield: ”Con un producto que realiza menos bloqueos, el perímetro de seguridad es necesariamente menor, pero también lo son los riesgos de que se bloquee una actividad. Y lo que es más importante, el producto no encuentra ninguna resistencia por parte de los usuarios. La línea que separa el comportamiento malicioso del legítimo es a veces tan fina que, al intentar bloquear a los atacantes, acabas bloqueándote a ti mismo”. Para complementar esta ciberprotección, se están reforzando las soluciones EDR; ya no se trata de bloquear a toda costa, sino de bloquear mejor en respuesta a la detección. Los usuarios no sufren molestias porque el producto de seguridad es transparente, y los departamentos de TI (y ciberseguridad) reciben alertas de seguridad.
La cuestión de la reducción de los falsos positivos sigue siendo relevante: ¿cómo pueden los sistemas de seguridad minimizar los falsos positivos? La respuesta a esta pregunta pasa por el ajuste de las reglas de detección, el aprendizaje y la inteligencia artificial. Utilizando datos de tráfico de red en tiempo real y registros de log de seguridad, las reglas de detección se ajustan y adaptan para ajustarse a las necesidades del mundo real y a los métodos operativos de la empresa. Las actualizaciones periódicas (o incluso automáticas) de las políticas de protección por defecto y de las bases de datos de seguridad, así como la provisión de reglas especiales para determinadas aplicaciones muy utilizadas pero sujetas a detonantes específicos de falsos positivos, son elementos clave para proteger el negocio. Sin embargo, estos procesos iterativos deben controlarse con precisión para evitar que se reduzca el umbral de detección. Y para aumentar esta protección mediante la identificación de nuevas técnicas de ataque y sus comportamientos sospechosos asociados, también es importante utilizar análisis de ciberataques y puntos de referencia como MITRE ATT&CK. Todos estos ajustes pueden ser complejos y requieren un conocimiento profundo de las soluciones de seguridad, cómo funcionan sus motores y qué registros de log envían. Hay varias otras formas en las que la comunicación interna de la empresa puede reducir los falsos positivos sin reducir el nivel de protección:
- Contextualizar los datos en función de las acciones in situ: los datos telemétricos deben contextualizarse en función del entorno de producción. Sin contextualización, los datos en bruto pueden malinterpretarse. En el lado de la red, por ejemplo, el motor IPS (sistema de prevención de intrusiones) se basa en el análisis de protocolos específicos de los paquetes de red. Otro ejemplo es la contextualización de las conexiones Wi-Fi.
- Una mejor comprensión de los entornos TI y OT: como cada entorno tiene sus propias características técnicas específicas, los mecanismos de detección deben incorporar el concepto de contexto. Sin una comprensión previa, un analista no podrá determinar si la información que se comunica es legítima o no.
- Establecer el mismo nivel de comunicación entre los departamentos de seguridad de la información y de producción: estableciendo un estricto proceso de comunicación – por ejemplo, en materia de intervenciones y mantenimiento – se pueden evitar errores.
Falsos positivos: ¿qué pasará en el futuro?
EDR, NDR, XDR, MDR: el número de siglas se multiplica, lo que refleja un enfoque especializado de la Detección y Respuesta en los productos de ciberseguridad. Además, los equipos de Inteligencia de Amenazas y de Cacería de Amenazas refuerzan nuestra capacidad para detectar los ciberataques más sofisticados. Los equipos buscan "indicadores de ataque" (IoAs) e "indicadores de compromiso" (IoCs), con el doble objetivo de comprender la amenaza y reducir el número de falsos positivos. Cabe señalar que, además de la detección, es esencial que las herramientas de protección de puestos de trabajo incorporen la capacidad de bloquear la amenaza.
El desarrollo de una arquitectura conocida como SOAPA (Security Operations and Analytics Platform Architecture, arquitectura de la plataforma de operaciones de seguridad y analítica) podría ser otra respuesta. Desarrollada por John Oltsik, analista principal de Enterprise Strategy Group en 2016, la arquitectura SOAPA se compone de varias categorías de productos que permiten recopilar, procesar, compartir y analizar datos de forma eficiente. La ventaja de esta arquitectura reside en el hecho de que la alerta se genera en el componente SOAR (orquestación, automatización y respuesta de seguridad) solo una vez que se ha establecido firmemente que es legítima. Aunque sobre el papel esta solución puede atajar el problema, la cuestión de los tiempos de procesamiento sigue pendiente.
Siguiendo la máxima de que "demasiados datos matan los datos", la automatización del análisis de datos es una opción potencialmente interesante. Mediante el entrenamiento de algoritmos de inteligencia artificial que tengan en cuenta las limitaciones del entorno de producción, se podría, como mínimo, permitir el tratamiento de las alertas más sencillas, dejando los casos más complejos a los analistas. Otras vías, como cuestionar la relevancia y la vida útil de los datos, también podrían contribuir a reducir el volumen generado. Pero estos son temas para futuros artículos...
