A análise incorreta de atividades e arquivos pode desgastar profissionais, o que pode fazer com que eles ignorem alguns alertas.
O falso positivo, também conhecido como falso alarme, pode atingir não só o sistema de segurança de uma empresa, mas sua produtividade e até mesmo sua imagem no mercado, sobretudo no setor de segurança, desdobrando-se em inúmeros outros problemas. Ele pode acontecer, por exemplo, quando um antivírus, firewalls ou mecanismos de detecção de intrusão identificam incorretamente uma atividade ou arquivo legítimo como uma ameaça, mesmo que não representem risco real. Isso tudo faz com que empresas elevem seus custos de tempo e mão de obra, além de trocas frequentes de sistemas.
Os falsos positivos comprometem as operações de cibersegurança ao gerar alertas desnecessários, levando as equipes de TI a desperdiçarem tempo e recursos na análise de notificações irrelevantes. Isso pode sobrecarregar os profissionais, desviando seu foco de ameaças reais que exigem intervenção imediata, causando uma fadiga de alertas.
Em um momento em que o aumento do número de problemas de segurança está contribuindo significativamente para aumentar o estresse das equipes de TI brasileiras, a questão dos falsos positivos precisa ser resolvida imediatamente. O relatório intitulado “The State of Cybersecurity in LATAM 2024”, da ManageEngine, mostra que 66% dos entrevistados brasileiros relataram um aumento nos níveis de pressão e estresse nos últimos anos – o número mais alto em comparação com o México, a Colômbia e a Argentina.
Além disso, quando as ferramentas de segurança bloqueiam atividades críticas ou arquivos essenciais por engano, a operação da empresa pode ser interrompida, afetando sua produtividade. “A alta taxa de falsos positivos pode levar os analistas a ignorarem alertas, o que aumenta o risco de um ataque verdadeiro ser negligenciado. Configurações excessivamente rigorosas, análises comportamentais imprecisas e bases de dados desatualizadas são algumas das causas mais comuns desses falsos positivos”, explica Tonimar Dal Aba, gerente técnico da ManageEngine.
O especialista dá algumas dicas que podem evitar a reduzir a taxa de falsas incidências:
Detectar anomalias: Usando algoritmos baseados em machine learning (ML), soluções SIEM eficazes conseguem detectar sinais sutis de um ataque. Primeiro, é estabelecido um padrão de atividade esperada para cada usuário e entidade; então, todas as instâncias que se desviam desse padrão são sinalizadas para análise pelos analistas de segurança. Como a intervenção humana é reduzida, a detecção de anomalias com ML pode, por sua vez, reduzir falsos positivos.
Usar regras de correlação bem definidas: Analistas de segurança normalmente também atuam como engenheiros de detecção. Eles precisam criar as regras para que uma solução SIEM detecte ameaças. Essas regras podem, obviamente, ser exclusivas para cada organização, e os analistas precisarão de toda a sua habilidade e experiência. O machine learning (ML) pode ser usado aqui também – o SIEM pode recomendar aos analistas os níveis de limiar para as regras que eles escrevem, ao analisar o comportamento de usuários e entidades.
Obter informações contextuais adicionais: Um SIEM eficaz fornece informações contextuais adicionais sobre uma ameaça, em vez de apenas destacá-la. Os analistas de segurança devem conseguir rapidamente ver informações sobre os usuários e dispositivos envolvidos, a sensibilidade dos ativos e as linhas do tempo dos eventos em investigação. Além disso, eles devem poder navegar prontamente para outras partes da solução para completar seu fluxo de trabalho.
Ajustar o SIEM regularmente: Os analistas devem atualizar as regras de detecção e os limiares com base nas ameaças em evolução e nas mudanças no ambiente. Isso garante que os alertas permaneçam relevantes e precisos. O gerente de SOC deve agendar uma reunião com sua equipe de analistas de segurança pelo menos uma vez por trimestre para revisar as regras de detecção.
Priorizar alertas: Um SIEM que classifica alertas com base na gravidade e relevância ajuda os analistas a focarem nos problemas mais críticos, filtrando o ruído. A gravidade pode ser baseada na sensibilidade do ativo e do dispositivo em questão e no papel das contas de usuário associadas. Se a ferramenta conseguir quantificar o custo provável de um alerta, isso será ainda mais valioso.
Ter um ciclo de feedback: Estabelecer um mecanismo de feedback em que os analistas possam marcar alertas como falsos positivos ajuda a melhorar a precisão do SIEM ao longo do tempo. Isso pode ser feito tanto para detecção baseada em regras quanto em ML. Na detecção com ML, isso é uma subcategoria de aprendizado supervisionado.
Aproveitar o poder da automação: Automatizar respostas para alertas comuns e de baixo risco pode reduzir a carga de trabalho dos analistas, permitindo que eles se concentrem em incidentes mais complexos e potencialmente ameaçadores. Os analistas de segurança não ficam sobrecarregados com alertas que podem ser automaticamente triados, permitindo que se concentrem em ameaças reais.
“Quando as soluções de segurança estão configuradas de forma eficiente, elas conseguem focar em ameaças reais, em vez de sobrecarregar as equipes com alertas desnecessários. Isso fortalece todo o sistema de segurança da empresa, refletindo em sua reputação e confiança no mercado”, conclui Tonimar.