Los falsos positivos y los verdaderos positivos de la ciberseguridad

Cuando las herramientas de seguridad identifican amenazas, en algunas organizaciones se despliega una serie de recursos; sin embargo, no siempre se trata de amenazas reales sino de falsos positivos que en realidad son inofensivos, pero aun así consumen recursos importantes, por lo que se requiere de métodos de análisis estadístico y aprendizaje automático para proteger las redes, con el entendido de que ni siquiera los mejores algoritmos son omnipotentes.
Por Iván Sánchez
Cuando un sistema activa una alarma, el equipo de seguridad debe investigarla. Pero si se trata de una falsa alarma —es decir de falsos positivos— los expertos tienen que perder el tiempo ante una amenaza que no existe. Esto cuesta tiempo y recursos, que en casos extremos luego faltan en ataques reales.

Si se producen falsos positivos de forma continua y frecuente, también puede ocurrir que los equipos de seguridad descuiden o incluso ignoren los mensajes de alarma. En última instancia, se pasan por alto las amenazas reales. Esto compromete la eficacia de las medidas de seguridad.

Por lo tanto, los falsos positivos pueden tener efectos negativos reales en la seguridad de la red, por lo que a menudo se utilizan como una métrica importante para los equipos de ciberseguridad. ¿Pero qué pasa si esta cifra es exagerada?

¿FALSA ALARMA O FALSO INDICADOR?
Para ilustrar esto tomemos un ejemplo del área DNS. Imaginemos un algoritmo que detecta el 80% de todos los dominios maliciosos con los que se comunica una red. También estima incorrectamente que el 5% de los dominios legítimos son maliciosos. Aplicamos este algoritmo a un conjunto de datos que contiene un total de 50 dominios, de los cuales el 20%, es decir 10, son realmente maliciosos. Luego, el algoritmo ofrece los siguientes resultados:

•8 de los 10 dominios defectuosos están marcados como peligrosos.
•2 de los 40 dominios legítimos están erróneamente marcados como peligrosos.
•2 de los 10 dominios maliciosos no están marcados erróneamente como peligrosos.
•38 de los 40 dominios legítimos están marcados como no peligrosos.

En este escenario ficticio, el algoritmo encuentra un total de 10 dominios maliciosos, dos de los cuales son realmente legítimos. La tasa de falsos positivos en este ejemplo es 2 /10, es decir, 20%. A partir de la descripción del algoritmo sería erróneo suponer que la tasa es del 5%. Con sólo 50 dominios esto todavía es manejable.

Sin embargo, en realidad las redes se ocupan de muchos dominios y muchas veces con cifras de millones. Además, la proporción de dominios defectuosos suele estar muy por debajo del 10%. Por lo tanto, no es raro que el número de falsos positivos supere el número de verdaderos positivos.

¿Qué pasa si la red del ejemplo anterior no tiene 50 dominios para verificar, sino un millón? El algoritmo devuelve entonces los siguientes números:

•40,000 de los 50,000 dominios maliciosos están marcados como peligrosos.
•47,500 de los 950,000 dominios legítimos están incorrectamente marcados como peligrosos.
•10,000 de los 50,000 dominios maliciosos están marcados incorrectamente como no peligrosos.
•902,500 de los 950,000 dominios legítimos están marcados como no peligrosos.

En este ejemplo, la tasa de falsos positivos es del 54%, lo que ya supera a los verdaderos positivos. Pero ¿cómo se obtienen esas cifras? La respuesta es bastante simple. Los falsos positivos aumentan proporcionalmente al número de objetos. En otras palabras, cuanto mayor sea el conjunto de dominios legítimos, más falsos positivos se producirán. Además, la tasa se ve afectada por el desequilibrio entre dominios legítimos y maliciosos. Este es un ejemplo clásico de propagación de errores, que ocurre una y otra vez en ciberseguridad cuando el volumen es grande y el desequilibrio entre actividades legítimas y maliciosas extremo.

EL IMPACTO ES LO QUE CUENTA
Muchos de los proveedores de soluciones de seguridad de red utilizan métodos de análisis estadístico y aprendizaje automático para proteger a las redes de ataques. Sin embargo, tanto los expertos como los usuarios deben comprender que ni siquiera los mejores algoritmos son omnipotentes.

El rendimiento del análisis de amenazas varía según el entorno. Por lo tanto, la tasa de falsos positivos no es necesariamente el indicador más significativo. Lo que importa es qué tan grande es el impacto real en la red y los recursos.

En ese sentido, los impactos positivos y negativos deben considerarse como una medida de éxito, en lugar de intentar cuantificar únicamente los falsos positivos. Además, cada entorno es diferente, por lo que las soluciones de seguridad siempre deben adaptarse al entorno, sólo así se podrán satisfacer las necesidades individuales.

Por lo tanto, los expertos en seguridad deberían examinar muy de cerca las cifras clave detrás de los algoritmos. Actualmente ya son posibles tasas de falsos positivos del 0,00015% mediante el uso de múltiples algoritmos estadísticos y no estadísticos, aunque también son útiles otros métodos, como la estrategia del ser humano en el circuito y el uso de múltiples niveles de procesamiento para reducir el ruido generado por falsos positivos que tiene un impacto real en los equipos de seguridad.
*VP Sales Manager LATAM de Infoblox.
isanchez@infoblox.com
Las opiniones expresadas en este artículo son de exclusiva responsabilidad del autor y no representan la opinión del IMEF.

Suscríbete a IMEF News

Análisis y opinión de expertos en economía, finanzas y negocios para los tomadores de decisiones.

Te puede interesar

Campo mexicano

Perpetuamente pobres

El presidente López Obrador nos confirma que lo que él no quiere para México es el progreso económico. El Economista

Seis acciones para la seguridad pública del país

Una gran parte de los mexicanos, que en diferentes momentos rebasa el 50% de la población, considera a la inseguridad como el principal problema del país, incluso la ubican como un problema mayor que la economía, el desempleo o la inflación.

Dinámicas económicas post Covid en Baja California Sur y Los Cabos

A partir de la pandemia del Covid-19, el panorama de la vivienda cambió en algunas regiones, principalmente en los destinos turísticos del país. En Baja California Sur donde la actividad económica preponderante es el turismo, la ley de oferta y demanda se cumple en su totalidad para atender a un mercado que va en crecimiento.

87 Convencion Bancaria: una reunión atípica

La 87 Convención Bancaria desafortunadamente coincidió con la reunión de primavera del Fondo Monetario Internacional, lo que limitó el número de asistentes; sin embargo, este año hubo puntos relevantes sobre la mesa: las elecciones, los neo bancos, las Fintech, las iniciativas de reforma y la economía.

México, beneficiado por nearshoring y por política “China Plus One”: Coface

México y China acaparan reflectores en la conferencia Coface Country Risk 2024. México recibe la atención de los empresarios que buscan proteger la fluidez de las cadenas mundiales de producción, a través del llamado nearshoring, mientras China capitaliza el giro del comercio mundial con una nueva estrategia de negocios, el llamado “China Plus One”.

Reportes antilavado de traslado de dinero se detonan en el marco de la pandemia

En la época de contingencia, la base monetaria de billetes y monedas y circulación ha tenido un crecimiento importante.

EUA-lanza-alerta-para-abandonar-Rusia

Estados Unidos lanza alerta para que sus ciudadanos abandonen Rusia: Esta es la razón

Estados Unidos señaló que podría haber consecuencias impredecibles para los ciudadanos americanos