Detecțiile fals pozitive vă pot costa mai mult decât infectările malware


Deciziile slabe în afaceri pot fi foarte costisitoare, în special în ceea ce privește securitatea informatică, unde etichetarea obiectelor curate ca fiind malware - așa-numitele alerte fals pozitive - pot avea consecințe dăunătoare.

Deci, cum puteți păstra în același timp ratele de eroare la un nivel cât mai scăzut, să mențineți ratele de detecție la un nivel maxim și să păstrați protecția puternică? Cu un mix între o soluție de securitate bine adaptată și supravegherea atentă executată de persoane abilitate.

În universul securității informatice, totul se învârte în jurul întrebării de bază: proba analizată este malițioasă sau curată? Ca în viață, răspunsul este mai complicat decât aceste două opțiuni, creând o zonă gri vastă, unde lucrurile bune și rele se aseamănă.

Furnizorii de sisteme de securitate cibernetică, cum ar fi ESET, trebuie să se confrunte zilnic cu această dilemă. Cu un număr tot mai mare de clienți în rețeaua globală, numărul de articole care trebuie evaluate este în creștere, împreună cu riscul de a genera așa-numitele detecții fals pozitive (FP).

În ceea ce privește securitatea informatică, acest termen descrie erorile pe care o soluție de securitate le face când etichetează elementele curate ca fiind periculoase. Acest lucru duce la blocarea sau la ștergerea acestora. Cu toate acestea, mulți furnizori aleg să reducă importanța acestora, accentuând în schimb capacitățile de învățare automată (Machine Learning).

Nu orice detecție fals pozitivă înseamnă în mod necesar colapsul total pentru infrastructura IT a unei afaceri. Unele erori au doar un impact minor asupra operațiunilor zilnice și pot fi rezolvate prin adăugarea unei simple excepții. Dar alte erori pot perturba continuitatea afacerii și astfel pot fi chiar mai distructive decât o infecție malware reală.

Detectarea agresivă poate provoca o serie de detecții fals pozitive

Majoritatea companiile folosesc sisteme de uz general - cu alte cuvinte, endpoint-uri - care trebuie să comunice cu "lumea exterioară". Cu tendințele actuale ale datelor de intrare non-statice, este foarte greu să se prevadă modul în care trebuie să arate toate intrările curate. Și acum că aplicațiile s-au transformat în simpli executori, fiecare intrare de date poate deveni potențial rău intenționată și, prin urmare, trebuie monitorizată și etichetată corect.

Utilizarea detecției agresive - văzută în unele soluții făcute de către anumiți furnizori - nu rezolvă această situație. Dimpotrivă, în astfel de condiții, detectarea agresivă poate duce la o rată alarmantă de alerte fals pozitive, supraîncărcând departamentul IT și transformând stațiile de lucru în sisteme inutilizabile. Aceasta conduce la pierderi financiare și de productivitate pentru o companie.

Ce e mai rău, cu zeci sau sute de alarme false, administratorii ar avea doar două opțiuni: să păstreze setările stricte și să-și piardă timpul analizând individual PC-urile sau să slăbească configurația de protecție care ar crea, în același timp, noi vulnerabilități în sistemele companiei .

Trebuie de aceea să vă întrebați: cât de dificil ar fi ca atacatorii să provoace și să exploateze un astfel de scenariu dacă ar exista o soluție agresivă?

De ce ar trebui să aveți grijă de detecțiile fals pozitive

Pe lângă endpoint-urile disfuncționale, există și alte scenarii îngrijorătoare cauzate de detecțiile fals pozitive. Imaginați-vă că o fabrică de automobile oprește producția deoarece soluția sa de securitate a marcat o parte din software-ul liniei de producție ca fiind rău intenționat și ulterior l-a șters. O astfel de "eroare" se poate traduce în întârzieri masive și milioane de dolari în daune financiare și de reputație.

În astfel de situații, este necesară o reparație rapidă. Cu toate acestea, o soluție de protecție care se bazează în mare măsură pe învățarea automată nesupravegheată - după cum spun mulți furnizori de de securitate post - adevăr  - poate duce la sesiuni dure de reacomodare. Acest lucru se datorează faptului că modelul de machine learning necesită atât actualizarea, cât și nevoia de a trece printr-o altă fază de învățare pentru a distinge corect între elementele curate și cele rău-intenționate.

Erori la evaluarea probelor pot apărea în soluțiile de învățare mecanică încă din perioada de învățare și, fără supravegherea procesului, pot rămâne acolo pentru o perioadă îndelungată înainte de a produce rău.

Atingerea echilibrului

Deci, cum poate o afacere să atingă un echilibru, prin care să se protejeaze de elementele rău-intenționate și să minimizeze detecțiile false la un nivel ușor de gestionat? Sincer, este ușor să obțineți 100% detecție sau 0% alerte fals pozitive, dar este imposibil să se întâmple ambele în același timp.

Unele medii IT necesită monitorizare 24/7 și o persoană responsabilă care poate reacționa aproape instantaneu la orice activitate suspectă sau la o notificare de securitate. Acest lucru este cu siguranță cazul sistemelor sensibile - cum ar fi scenariul fabricii de automobile descris mai sus.

În medii restrictive - cum ar fi terminalele angajaților din domeniul bancar, cu dispozitive identice care rulează doar un set limitat de aplicații - administratorii pot opta pentru lista albă. Acest lucru le permite să creeze o listă detaliată a acțiunilor și a programelor autorizate. Orice se află în afara listei este blocat, indiferent dacă este curat sau rău intenționat.

Această "restricționare la lista albă"  reduce în mod semnificativ suprafața de atac și minimizează detecțiile fals pozitive, dar, de asemenea, micșorează funcționalitatea sistemului și nu se aplică universal. O altă limită a acestei abordări este reprezentată de blocarea actualizărilor automate ce poate determina utilizatorii de endpoint-uri să ruleze o versiune vulnerabilă a aplicației.

Listarea albă în mod inteligent, cu excepții definite pentru actualizări, căi sau nume de fișiere, poate eluda această problemă, dar poate deschide și ușa atacatorilor.

Ce este mai bine pentru dumneavoastră?

Aproape fiecare afacere din lume utilizează un mix unic de software și soluții în cadrul rețelei lor. Prin urmare, fiecare companie trebuie să decidă cât de restrictive ar trebui să fie sistemele sale pentru a atinge nivelul dorit de protecție.

În cazul în care sistemul poate fi redus până la funcționalitatea sa minimă, se scade suprafața de atac, dar se lasă în afară o mulțime de activități legitime și de fișiere. Pe de altă parte, pentru unele companii, o alertă fals pozitivă ar avea un cost mai mare decât o posibilă infectare, ceea ce îi forțează să-și asume riscul.

Cea mai eficientă modalitate de a proteja sistemele, rețelele și / sau endpoint-urile este de a implementa o soluție de securitate bine adaptată (cu un raport de detectare ridicat și o rată de detecție a fals pozitivelor aproape de zero) și de a o supraveghea cu administratori experimentați care pot avea grijă de cazurile rare în care apar alerte de detecție care se dovedesc fals pozitive.

Unii furnizori de securitate ar putea susține că prin implementarea învățării automatizate pot evita necesitatea în ecuație a acestei "variabile umane" . Însă experiența ESET arată că este esențial să se utilizeze învățarea automatizată în limitele corecte și să se corecteze posibilele sale erori.

 

 

 

ONDREJ KUBOVIČ
CORESPONDENT INDEPENDENT

Georgiana June 7, 2017

Lasa un comentariu