Los falsos positivos y los verdaderos positivos de la ciberseguridad

Cuando las herramientas de seguridad identifican amenazas, en algunas organizaciones se despliega una serie de recursos; sin embargo, no siempre se trata de amenazas reales sino de falsos positivos que en realidad son inofensivos, pero aun así consumen recursos importantes, por lo que se requiere de métodos de análisis estadístico y aprendizaje automático para proteger las redes, con el entendido de que ni siquiera los mejores algoritmos son omnipotentes.
Por Iván Sánchez
Cuando un sistema activa una alarma, el equipo de seguridad debe investigarla. Pero si se trata de una falsa alarma —es decir de falsos positivos— los expertos tienen que perder el tiempo ante una amenaza que no existe. Esto cuesta tiempo y recursos, que en casos extremos luego faltan en ataques reales.

Si se producen falsos positivos de forma continua y frecuente, también puede ocurrir que los equipos de seguridad descuiden o incluso ignoren los mensajes de alarma. En última instancia, se pasan por alto las amenazas reales. Esto compromete la eficacia de las medidas de seguridad.

Por lo tanto, los falsos positivos pueden tener efectos negativos reales en la seguridad de la red, por lo que a menudo se utilizan como una métrica importante para los equipos de ciberseguridad. ¿Pero qué pasa si esta cifra es exagerada?

¿FALSA ALARMA O FALSO INDICADOR?
Para ilustrar esto tomemos un ejemplo del área DNS. Imaginemos un algoritmo que detecta el 80% de todos los dominios maliciosos con los que se comunica una red. También estima incorrectamente que el 5% de los dominios legítimos son maliciosos. Aplicamos este algoritmo a un conjunto de datos que contiene un total de 50 dominios, de los cuales el 20%, es decir 10, son realmente maliciosos. Luego, el algoritmo ofrece los siguientes resultados:

•8 de los 10 dominios defectuosos están marcados como peligrosos.
•2 de los 40 dominios legítimos están erróneamente marcados como peligrosos.
•2 de los 10 dominios maliciosos no están marcados erróneamente como peligrosos.
•38 de los 40 dominios legítimos están marcados como no peligrosos.

En este escenario ficticio, el algoritmo encuentra un total de 10 dominios maliciosos, dos de los cuales son realmente legítimos. La tasa de falsos positivos en este ejemplo es 2 /10, es decir, 20%. A partir de la descripción del algoritmo sería erróneo suponer que la tasa es del 5%. Con sólo 50 dominios esto todavía es manejable.

Sin embargo, en realidad las redes se ocupan de muchos dominios y muchas veces con cifras de millones. Además, la proporción de dominios defectuosos suele estar muy por debajo del 10%. Por lo tanto, no es raro que el número de falsos positivos supere el número de verdaderos positivos.

¿Qué pasa si la red del ejemplo anterior no tiene 50 dominios para verificar, sino un millón? El algoritmo devuelve entonces los siguientes números:

•40,000 de los 50,000 dominios maliciosos están marcados como peligrosos.
•47,500 de los 950,000 dominios legítimos están incorrectamente marcados como peligrosos.
•10,000 de los 50,000 dominios maliciosos están marcados incorrectamente como no peligrosos.
•902,500 de los 950,000 dominios legítimos están marcados como no peligrosos.

En este ejemplo, la tasa de falsos positivos es del 54%, lo que ya supera a los verdaderos positivos. Pero ¿cómo se obtienen esas cifras? La respuesta es bastante simple. Los falsos positivos aumentan proporcionalmente al número de objetos. En otras palabras, cuanto mayor sea el conjunto de dominios legítimos, más falsos positivos se producirán. Además, la tasa se ve afectada por el desequilibrio entre dominios legítimos y maliciosos. Este es un ejemplo clásico de propagación de errores, que ocurre una y otra vez en ciberseguridad cuando el volumen es grande y el desequilibrio entre actividades legítimas y maliciosas extremo.

EL IMPACTO ES LO QUE CUENTA
Muchos de los proveedores de soluciones de seguridad de red utilizan métodos de análisis estadístico y aprendizaje automático para proteger a las redes de ataques. Sin embargo, tanto los expertos como los usuarios deben comprender que ni siquiera los mejores algoritmos son omnipotentes.

El rendimiento del análisis de amenazas varía según el entorno. Por lo tanto, la tasa de falsos positivos no es necesariamente el indicador más significativo. Lo que importa es qué tan grande es el impacto real en la red y los recursos.

En ese sentido, los impactos positivos y negativos deben considerarse como una medida de éxito, en lugar de intentar cuantificar únicamente los falsos positivos. Además, cada entorno es diferente, por lo que las soluciones de seguridad siempre deben adaptarse al entorno, sólo así se podrán satisfacer las necesidades individuales.

Por lo tanto, los expertos en seguridad deberían examinar muy de cerca las cifras clave detrás de los algoritmos. Actualmente ya son posibles tasas de falsos positivos del 0,00015% mediante el uso de múltiples algoritmos estadísticos y no estadísticos, aunque también son útiles otros métodos, como la estrategia del ser humano en el circuito y el uso de múltiples niveles de procesamiento para reducir el ruido generado por falsos positivos que tiene un impacto real en los equipos de seguridad.
*VP Sales Manager LATAM de Infoblox.
isanchez@infoblox.com
Las opiniones expresadas en este artículo son de exclusiva responsabilidad del autor y no representan la opinión del IMEF.

Suscríbete a IMEF News

Análisis y opinión de expertos en economía, finanzas y negocios para los tomadores de decisiones.

Te puede interesar

Justicia tributaria global

A raíz de la crisis financiera mundial, surgió en el seno de la OCDE y el G20 el Proyecto “Erosión de bases imponibles y traslado de beneficios” (BEPS), una respuesta al problema de que las empresas multinacionales se aprovechan de las lagunas y discrepancias existentes en las normas tributarias internacionales para trasladar beneficios a países de baja o nula tributación. Ya son casi 140 países que forman el llamado “Marco Inclusivo sobre BEPS”.

Mercados financieros inician el año con mayor optimismo

A pesar de los temores de una recesión global, los activos financieros iniciaron el año con un desempeño positivo. Los bonos soberanos registraron ganancias generalizadas y la mayoría de las divisas emergentes y desarrolladas avanzaron contra el dólar.

Mercados financieros altamente volátiles tras la agitación financiera

Durante marzo, los mercados estuvieron en una montaña rusa por la quiebra de junto con la crisis de confianza en Credit Suisse. Sin embargo, las medidas para evitar un mayor contagio y la compra del banco suizo aliviaron el estrés financiero.

El ingreso de México por remesas en un entorno desfavorable

Las deportaciones de inmigrantes indocumentados, un impuesto a las remesas y una desaceleración de la economía norteamericana podrían afectar el envío de remesas de Estados Unidos a México. Los tres factores son importantes, pero uno tiene más peso. En este artículo se analiza cuál es.

¿Por qué el Gobierno apoya más a Pemex que a Acapulco?

Para la petrolera están etiquetados 170,900 millones de pesos en el presupuesto de egresos. El puerto guerrerense tiene los 61,000 millones anunciados por el presidente y la promesa de que no faltarán recursos para la reconstrucción.

Se perfila contracción

Los datos de los indicadores IMEF Manufacturero y No Manufacturero de febrero sugieren la persistencia del estancamiento económico observado en los últimos meses. Ambos indicadores registran niveles que señalan una ausencia de expansión económica en relación con enero; sus respectivos niveles se sitúan en zona de contracción.

Divergencia entre el PIB de México y de Estados Unidos aumenta: FMI

Las expectativas de expansión de México para este año se han ido derrumbando, desde 2.7% previsto en enero, hasta el actual 1.5%; en parte por la política monetaria restrictiva que se ha aplicado para reducir la inflación.