No hay tiempo para falsas alarmas: Impacto de los falsos positivos del software de seguridad

¿Qué son los falsos positivos en ciberseguridad?

Cuando se prueban productos o sistemas de software en busca de vulnerabilidades de seguridad, ya sea por parte de una herramienta o un pentester, idealmente se crea un informe para dar a conocer los hallazgos. Un falso positivo es un reporte erróneo de la existencia o presencia de una vulnerabilidad de seguridad. Lo que la herramienta o el humano percibieron como un problema de seguridad en un sector del sistema que evaluaron, en realidad no lo es.

Como mi compañero editorial, Felipe Ruiz, lo expresó brevemente en un documento inédito:

[...] un falso positivo es cuando el médico te dice, por ejemplo, que tienes una enfermedad hepática, cuando en realidad no la tienes. Su percepción de esa enfermedad es ilusoria y te dan un diagnóstico etiquetado como "positivo", que es falso, es decir, un falso positivo.

Un verdadero positivo, por otro lado, es un informe correcto de la existencia de una vulnerabilidad. Proporcionar bajas tasas de falsos positivos (FPs) y altas tasas de verdaderos positivos es el objetivo principal de las soluciones de seguridad de aplicaciones. Aun así, se ha evidenciado que el rendimiento de muchas —debería decir, al menos el rendimiento de sus herramientas— deja mucho que desear. Por ejemplo, las herramientas comerciales obtuvieron una tasa promedio de verdaderos positivos del 26% en su objetivo de encontrar vulnerabilidades en una aplicación web Java propuesta por el Open Web Application Security Project (OWASP).

Algunas herramientas pueden ser más precisas en la búsqueda de algunos tipos de vulnerabilidades y no de otros. Por lo tanto, pueden usarse juntas para complementarse. Pero en verdad, las organizaciones deberían evitar tener muchas herramientas. (Un estudio de 2020 mostró que las organizaciones que usaban más de 50 herramientas se calificaron a sí mismas más bajo en su capacidad para detectar y responder a un ataque (8% y 7% menos, respectivamente). Eso sin contar el dolor de cabeza de tener que orquestar esas herramientas).

Impactos negativos de los falsos positivos

El principal problema con los falsos positivos es que los desarrolladores y el equipo de seguridad pierden tiempo y esfuerzo buscando supuestas vulnerabilidades. Comencé esta publicación de blog refiriéndome a cómo se siente eso. Pues bien, en una encuesta de 2018, "cambiar las prioridades que resultan en código descartado o tiempo perdido" fue calificado con 79/100 en tener un impacto negativo en la motivación personal de los desarrolladores. Esto solo estuvo por detrás de la "sobrecarga de trabajo" (81/100). La encuesta incluyó a más de 1.000 desarrolladores en EE. UU., Reino Unido, Francia, Alemania y Singapur.

En cuanto al tiempo perdido en la inspección de falsos positivos, parece que a los desarrolladores no se les ha preguntado directamente. Un informe de hace cuatro años lo preguntó a 291 directores de empresas que utilizaban servicios de detección y respuesta gestionados en EE. UU. La respuesta de aquellos en organizaciones de 500 a 1.499 empleados fue que les tomaba alrededor de 25 minutos. Y eso fue un minuto más de lo que les tomaba investigar verdaderos positivos. Los encuestados que trabajaban en las empresas más grandes, a su vez, fueron los más afectados, perdiendo alrededor de 32 minutos investigando falsos positivos. El patrón en todas las empresas fue que se dedicaba tanto tiempo a los falsos positivos como a los verdaderos positivos.

Y no es que los falsos positivos sean solo sucesos raros. En un estudio internacional de 2022, alrededor del 60% de los profesionales de TI dijeron que recibían más de 500 alertas de seguridad en la nube diariamente. Y alrededor de la mitad de los encuestados dijo que más del 40% de las alertas eran falsos positivos. Estoy citando diferentes estudios en esta sección, pero la idea principal es que los falsos positivos están desperdiciando una porción demasiado grande del tiempo de la gente.

Entonces, ¿cuánto dinero se está desperdiciando aquí? Aún no se ha dicho, al parecer. Sin embargo, se menciona que el costo anual del triaje manual de alertas es de $3,3 mil millones de dólares en EE. UU. Así que, posiblemente, una suma preocupantemente grande se dedica a falsas alarmas.

Sin embargo, las organizaciones deben seguir investigando las alarmas. Las pérdidas pueden ser dramáticas si no logran detectar y responder a una amenaza real antes de que los delincuentes la encuentren y la exploten (una violación de datos promedia $4,45 millones de dólares). Sin embargo, las alarmas pueden ser tantas que las organizaciones no pueden seguirlas. El estudio de 2021 antes mencionado encontró que las organizaciones de 500 a 1.499 empleados no abordaron el 27% de las alertas que recibieron. Y un porcentaje similar fue reportado por empresas más grandes. El volumen de alertas debe reducirse, específicamente, los falsos positivos.

Cómo reducir los impactos de los falsos positivos

En primer lugar, las organizaciones deberían buscar soluciones de pruebas de seguridad que puedan proporcionar evidencia de su tasa mínima de falsos positivos. Por otro lado, los proveedores de herramientas deberían mejorar la calidad de las alertas de sus productos. De hecho, las entrevistas con algunos profesionales del centro de operaciones de seguridad (SOC) han ayudado a identificar qué se puede cambiar, ya que han encontrado que las alertas son "poco confiables, difíciles de interpretar y carecen del contexto necesario para que los analistas filtren los falsos positivos de las alarmas genuinas". Por lo tanto, los autores de ese estudio de entrevistas sugieren que las alertas deben de la siguiente manera:

• Confiables: Provenir de métodos que encuentren vulnerabilidades con precisión y que se perfeccionen con frecuencia.

• Explicables: Ofrecer información comprensible sobre por qué se genera una alarma.

• Contextuales: Tener en cuenta las características específicas de la organización que se está evaluando.

Fluid Attacks ofrece tasas mínimas de falsos positivos

Nuestro Hacking Continuo implica pruebas de seguridad precisas y recomendaciones de remediación a través de GenAI para ayudar a las empresas a proteger sus productos de software. Nuestra herramienta SAST logró una tasa de verdaderos positivos del 100% y una tasa de falsos negativos del 0% en el OWASP Benchmark v1.2. Además, nuestro plan insignia incluye revisiones manuales realizadas por nuestros pentesters, quienes no solo encuentran vulnerabilidades que las herramientas no pueden detectar, sino que también examinan los hallazgos para descartar cualquier falso positivo.

Haz clic aquí para registrarte para una prueba gratuita de nuestras herramientas.