Falsos Positivos en el Análisis de Vulnerabilidades: Impacto y Estrategias de Reducción

By /

En el ámbito de la ciberseguridad, un falso positivo es un error de detección en el que una herramienta de seguridad informa incorrectamente la presencia de una amenaza o vulnerabilidad que en realidad no existe, o clasifica un comportamiento legítimo como malicioso. Este fenómeno es un desafío común que enfrentan los equipos de seguridad, especialmente en entornos complejos, y puede tener repercusiones significativas en la eficiencia operativa y la postura de seguridad de una organización.

Esquema de la clasificación de resultados en ciberseguridad (verdadero positivo, verdadero negativo, falso positivo, falso negativo)

Definición y Terminología

Según el Glosario del NIST, un falso positivo es un error de detección en el que un comportamiento benigno se clasifica incorrectamente como una amenaza. En ciberseguridad, los falsos positivos suelen denominarse errores Tipo I, mientras que los falsos negativos se denominan errores Tipo II.

Estas cuatro categorías (verdaderos positivos, verdaderos negativos, falsos positivos y falsos negativos) forman la base para evaluar la calidad de detección en soluciones de ciberseguridad. La tasa de falsos positivos es la proporción entre el número total de alertas incorrectas y el número real de archivos o paquetes de datos seguros. Falsos positivos + verdaderos negativos se combinan para dar el número total de paquetes de datos seguros escaneados por la herramienta de seguridad.

Aunque es esencial seguir la tasa de falsos positivos, no ofrece toda la imagen y se deben considerar otros resultados, como la tasa de verdadero positivo (sensibilidad) y la tasa de verdadero negativo (especificidad). Este parámetro clave ofrece una visión más holística de la calidad de la detección, asegurando que las herramientas de seguridad se evalúen no solo por su capacidad para detectar amenazas, sino también por su capacidad para minimizar la interrupción.

Impacto de las Altas Tasas de Falsos Positivos

Aunque la suposición inicial podría ser que detectar "demasiado" es más seguro que pasar por alto una amenaza, en realidad, los falsos positivos en ciberseguridad tienen costos significativos:

Fatiga por Alertas

Uno de los resultados más dañinos de una alta tasa de falsos positivos es la fatiga de alerta. Cuando los analistas se ven abrumados con alertas sin sentido, su capacidad para detectar amenazas reales disminuye. Los analistas de seguridad que se enfrentan a un volumen abrumador de alertas diarias acabarán sucumbiendo a esta fatiga, volviéndose insensibles a futuras alertas. En este caso, los falsos positivos son más que ruido, son activamente perjudiciales para los esfuerzos de seguridad, llevando a respuestas lentas ante amenazas reales o incluso a pasarlas por alto por completo.

Según el informe de fatiga por alertas 2022 de Orca Security, el 20% de las alertas de seguridad en la nube se clasifican como falsos positivos. Además, casi el 60% de los profesionales de TI reciben más de 500 alertas de seguridad cada día y dedican más del 20% de su tiempo a priorizarlas.

Desperdicio de Recursos y Tiempo

Investigar falsos positivos consume recursos valiosos. Los analistas pasan horas revisando eventos inofensivos, los sistemas informáticos pueden ser innecesariamente puestos en cuarentena y el ancho de banda total de TI puede desperdiciarse centrándose en lo incorrecto. Este paso innecesario hace perder tiempo y reduce la eficacia operativa, distrayendo a los expertos de las acciones a las que realmente hay que dar prioridad.

Retraso en la Respuesta a Incidentes Reales

Cuando la atención se desvía hacia los falsos positivos, la respuesta a incidentes reales se ralentiza. Este retraso solo beneficia a los ciberdelincuentes, que ahora disponen de más tiempo para aprovechar sus ataques. El tiempo dedicado a validar los falsos positivos retrasa la aplicación de parches para las vulnerabilidades reales, lo que aumenta la ventana de oportunidad para que los atacantes exploten las vulnerabilidades reales.

Reducción de la Confianza y Erosión de las Defensas

Una tasa excesiva de falsos positivos en un entorno de seguridad erosiona las defensas. La generación repetida de falsos positivos puede conducir no solo a una pérdida de confianza de los empleados en las soluciones y la protección, sino también a una pérdida de confianza de los analistas en la utilidad de los sistemas de detección. Los equipos incluso pueden desactivar herramientas ruidosas o flexibilizar los umbrales de detección, creando puntos ciegos donde pueden colar ataques genuinos.

Los usuarios intentarán entonces evitar el uso de este producto de seguridad, o incluso desinstalarlo. "Todo es cuestión de medición", explica Edouard Simpère, responsable de inteligencia sobre amenazas de Stormshield: "Con un producto que realiza menos bloqueos, el perímetro de seguridad es necesariamente menor, pero también lo son los riesgos de que se bloquee una actividad. Y lo que es más importante, el producto no encuentra ninguna resistencia por parte de los usuarios. La línea que separa el comportamiento malicioso del legítimo es a veces tan fina que, al intentar bloquear a los atacantes, acabas bloqueándote a ti mismo”.

Problemas de Cumplimiento

Las organizaciones que confían en informes de vulnerabilidad inexactos corren el riesgo de encontrarse con problemas de cumplimiento. Los auditores exigen pruebas claras de que los riesgos de seguridad se gestionan activamente. Los falsos positivos pueden inducir a error sobre la situación real de la seguridad, haciendo que parezca que no se están tratando las vulnerabilidades o que los informes no son fiables.

Causas Comunes de los Falsos Positivos

Comprender las causas profundas de los falsos positivos en ciberseguridad es esencial para reducir su frecuencia:

  • Firmas de inteligencia sobre amenazas y malware desactualizadas: Cuando las herramientas dependen de firmas desactualizadas o de fuentes obsoletas de inteligencia sobre amenazas, son significativamente más propensas a clasificar erróneamente actividades legítimas como maliciosas.
  • Algoritmos de detección excesivamente amplios o genéricos: Reglas de detección amplias que abren una red demasiado amplia pueden generar un número significativo de falsos positivos.
  • Configuraciones erróneas: A veces, los escáneres de seguridad pueden señalar configuraciones erróneas como vulnerabilidades.
  • Código Personalizado y Lógica de Negocio: Los escáneres automatizados pueden no comprender completamente el código personalizado y la lógica de negocio de una aplicación. Pueden producirse falsos positivos si el escáner malinterpreta el comportamiento previsto.
  • Bypass de Validación de Entradas: Si la aplicación utiliza mecanismos robustos de validación y saneamiento de entradas, los escáneres pueden activar falsos positivos al inyectar payloads genéricos.
  • Mecanismos de Autenticación: Los escáneres pueden interpretar páginas de inicio de sesión o mecanismos de autenticación como vulnerabilidades cuando forman parte del comportamiento normal de la aplicación.
  • Contenido Dinámico: Las aplicaciones web con contenido dinámico o interacciones basadas en JavaScript pueden confundir a los escáneres.
  • Parches retroactivos: Los proveedores de Linux suelen aplicar parches de seguridad, lo que significa que las últimas correcciones se han aplicado a versiones anteriores de paquetes sin cambiar los números de versión. Los escáneres pueden marcar una vulnerabilidad basándose únicamente en la cadena de versión.
  • Escáneres basados en firmas: Se basan en el reconocimiento de patrones, lo que a veces puede dar lugar a falsas coincidencias cuando varios componentes de software comparten archivos, bibliotecas o rutas similares.
  • Vulnerabilidades no explotables en el entorno específico: Los escáneres a menudo informan de vulnerabilidades sin explicar si son explotables en un entorno específico.
  • Sistemas de exploración de vulnerabilidades y de aplicación de parches funcionando de forma aislada.
Ejemplo de un escáner de vulnerabilidades mostrando falsos positivos

Estrategias para Reducir Proactivamente los Falsos Positivos

Las organizaciones que logran gestionar falsos positivos adoptan un enfoque proactivo y basado en datos. La respuesta a esta pregunta pasa por el ajuste de las reglas de detección, el aprendizaje y la inteligencia artificial.

Verificación y Contextualización Manual

  • Verificación manual: Verifique manualmente cada vulnerabilidad reportada para confirmar su validez. Esto implica inspeccionar el código, la configuración o el comportamiento afectados para determinar si existe un problema de seguridad real.
  • Comparar con avisos oficiales: Siempre es una buena práctica comparar la vulnerabilidad notificada con los avisos de seguridad o notas de parche oficiales del proveedor.
  • Revisar la gravedad y explotabilidad: No todos los CVE son igual de críticos. Revise la gravedad de la vulnerabilidad y los datos de explotabilidad de fuentes fiables como NVD o el catálogo KEV de CISA.
  • Verificar parches aplicados: Es esencial verificar si ya se han aplicado los parches. Los registros de los gestores de paquetes (yum, dnf, apt) o las herramientas de gestión de la configuración pueden confirmar si se ha corregido una vulnerabilidad.
  • Evaluar la relevancia: Algunas vulnerabilidades pueden no ser relevantes dependiendo de la función, configuración o carga de trabajo del servidor.
  • Contextualizar los datos: Los datos telemétricos deben contextualizarse en función del entorno de producción. Sin contextualización, los datos en bruto pueden malinterpretarse.
  • Mejor comprensión de los entornos TI y OT: Como cada entorno tiene sus propias características técnicas específicas, los mecanismos de detección deben incorporar el concepto de contexto.

Ajuste y Optimización de Herramientas de Seguridad

  • Ajustar la configuración del escáner: Ajuste la configuración del escáner para adaptarse mejor a las especificidades de la aplicación web. Esto puede incluir la configuración de la autenticación, la exclusión de ciertas rutas o el ajuste del escáner para la pila tecnológica de la aplicación.
  • Actualizaciones periódicas: Mantenga el escáner de vulnerabilidades y sus firmas actualizados para asegurar que disponga de la información más reciente sobre vulnerabilidades conocidas.
  • Ajuste del nivel de protección en la nube de Microsoft Defender Antivirus: Asegúrese de revisar la configuración de protección contra amenazas de su organización. Se recomienda activarlo.
  • Protección de PUA: Las aplicaciones potencialmente no deseadas (PUA) son una categoría de software que puede generar falsos positivos. Considere ejecutar la protección de PUA en modo de auditoría o aplicarla a un subconjunto de dispositivos.
  • Exclusiones e indicadores:
    • Una exclusión es una entidad, como un archivo o una dirección URL, que se especifica como una excepción a las acciones de corrección.
    • Los indicadores (en concreto, los indicadores de riesgo o IOC) permiten al equipo de operaciones de seguridad definir la detección, prevención y exclusión de entidades.
    • Al crear un indicador "allow" para un archivo o certificado de aplicación, se ayuda a evitar que se bloqueen archivos o aplicaciones legítimas.
    • Las exclusiones de Microsoft Defender Antivirus solo se aplican a la protección antivirus, no a otras funcionalidades de Microsoft Defender para punto de conexión.
    • En el centro de administración de Microsoft Intune, se pueden definir exclusiones por extensión de tipo de archivo, rutas de acceso o procesos excluidos.
    • Se recomienda definir exclusiones con moderación y revisar periódicamente las exclusiones definidas.
  • Configuración de automatización completa para AIR: Las funcionalidades de investigación y corrección automatizadas (AIR) están diseñadas para examinar alertas y tomar medidas inmediatas. Se recomienda usar la automatización completa y usar indicadores "allow" para definir excepciones.

Colaboración y Mejora Continua

  • Colaboración: Fomente la colaboración entre profesionales de la seguridad y desarrolladores para comprender mejor la lógica y el comportamiento de la aplicación. Esta colaboración puede ayudar a interpretar con precisión los resultados del escaneo.
  • Envío de entidades a Microsoft para su análisis: Se pueden enviar entidades, como archivos y detecciones sin archivos, a Microsoft para su análisis. Los investigadores de seguridad de Microsoft analizan todos los envíos y sus resultados ayudan a informar a las funcionalidades de protección contra amenazas de Defender para punto de conexión.
  • Análisis de ciberataques y puntos de referencia: Para aumentar la protección mediante la identificación de nuevas técnicas de ataque y sus comportamientos sospechosos asociados, es importante utilizar análisis de ciberataques y puntos de referencia como MITRE ATT&CK.
  • Equipos de Inteligencia de Amenazas y Caza de Amenazas: Estos equipos buscan "indicadores de ataque" (IoAs) e "indicadores de compromiso" (IoCs), con el doble objetivo de comprender la amenaza y reducir el número de falsos positivos.

Uso de Tecnologías Avanzadas

  • IA y Aprendizaje Automático: Utilizando datos de tráfico de red en tiempo real y registros de log de seguridad, las reglas de detección se ajustan y adaptan para ajustarse a las necesidades del mundo real y a los métodos operativos de la empresa. La automatización del análisis de datos, mediante el entrenamiento de algoritmos de inteligencia artificial, puede permitir el tratamiento de las alertas más sencillas, dejando los casos más complejos a los analistas.
  • EDR, NDR, XDR, MDR: El número de siglas se multiplica, lo que refleja un enfoque especializado de la Detección y Respuesta en los productos de ciberseguridad. En las soluciones de endpoint protection, un falso positivo es una entidad, como un archivo o un proceso que se detectó e identificó como malintencionado aunque la entidad no sea realmente una amenaza.
  • Arquitectura SOAPA: La arquitectura SOAPA (Security Operations and Analytics Platform Architecture) desarrollada por John Oltsik, se compone de varias categorías de productos que permiten recopilar, procesar, compartir y analizar datos de forma eficiente. La ventaja de esta arquitectura reside en el hecho de que la alerta se genera en el componente SOAR (orquestación, automatización y respuesta de seguridad) solo una vez que se ha establecido firmemente que es legítima.
  • Motores SAST validados: Plataformas como Xygeni evalúan cada hallazgo para determinar su veracidad y su motor SAST ha sido validado de forma independiente utilizando el OWASP Benchmark, el conjunto de pruebas estándar de la industria para evaluar herramientas de seguridad.

tags: #falso #positivo #analisis #vulnerabilidad

Publicaciones populares:

  • Adaptaciones para discapacidad motora infantil
  • Impacto de la Inaccesibilidad en la Motivación de Personas con Discapacidad
  • Desafíos en Residencias de Organismos Colaboradores
  • Desafíos de la hidratación en adultos mayores
  • Juegos adaptados para niños con apoyos ortopédicos