Sem tempo para alarmes falsos: Impacto de falsos positivos por software de segurança

O que são falsos positivos em cibersegurança?

Quando produtos ou sistemas de software são testados quanto a vulnerabilidades de segurança, seja por uma ferramenta ou por um pentester, idealmente, um relatório é criado para informar as descobertas. Um falso positivo é um relatório errôneo da existência ou presença de uma vulnerabilidade de segurança. O que a ferramenta ou o humano percebeu como um problema de segurança, em um setor do sistema que avaliou, na verdade não é.

Como meu parceiro editorial, Felipe Ruiz, disse certa vez:

[...] um falso positivo é quando o médico te diz, por exemplo, que você tem uma doença hepática, quando na verdade não tem. A percepção dele dessa doença é ilusória, e ele te dá um diagnóstico rotulado como "positivo", que é falso, ou seja, um falso positivo.

Um verdadeiro positivo, por outro lado, é um relatório correto da existência de uma vulnerabilidade. Fornecer baixas taxas de falsos positivos (FPs) e altas taxas de verdadeiros positivos é o principal objetivo para soluções de segurança de aplicativos. Ainda assim, tem sido evidenciado que o desempenho de muitas — devo dizer, pelo menos o desempenho de suas ferramentas — deixa muito a desejar. Por exemplo, ferramentas comerciais obtiveram uma taxa média de verdadeiros positivos de 26% em seu objetivo de encontrar vulnerabilidades em um aplicativo web Java proposto pelo Open Web Application Security Project (OWASP).

Algumas ferramentas podem ser mais precisas na busca de alguns tipos de vulnerabilidades e não de outras. Assim, elas podem ser usadas em conjunto para se complementar. Mas, na verdade, as organizações devem evitar ter muitas ferramentas. (Um estudo de 2020 mostrou que as organizações que usavam mais de 50 ferramentas se classificaram mais baixo em sua capacidade de detectar e responder a um ataque (8% e 7% menor, respectivamente). Isso sem contar a dor de cabeça de ter que orquestrar essas ferramentas).

Impactos negativos de falsos positivos

O principal problema com os falsos positivos é que desenvolvedores e a equipe de segurança perdem tempo e esforço procurando por supostas vulnerabilidades. Comecei esta postagem de blog me referindo a como isso se sente. Bem, em uma pesquisa de 2018, "mudança de prioridades resultando em código descartado ou tempo desperdiçado" foi classificado como 79/100 por ter um impacto negativo no motivação pessoal dos desenvolvedores. Isso ficou em segundo lugar, atrás apenas de "sobrecarga de trabalho" (81/100). A pesquisa incluiu mais de 1.000 desenvolvedores nos EUA, Reino Unido, França, Alemanha e Singapura.

Quanto ao tempo desperdiçado na inspeção de falsos positivos, parece que os desenvolvedores não foram questionados diretamente. Um relatório de quatro anos atrás perguntou a 291 diretores de empresas que utilizam serviços gerenciados de detecção e resposta nos EUA. A resposta daqueles em organizações de 500 a 1.499 funcionários foi que levava cerca de 25 minutos. E isso foi um minuto a mais do que o tempo que levava para investigar verdadeiros positivos. Os entrevistados que trabalhavam nas maiores empresas, por sua vez, foram os mais afetados, perdendo cerca de 32 minutos investigando falsos positivos. O padrão em todas as empresas foi que tanto tempo foi gasto em falsos positivos quanto em verdadeiros positivos.

E não é como se os falsos positivos fossem apenas ocorrências raras. Em um estudo internacional em 2022, cerca de 60% dos profissionais de TI disseram que recebiam mais de 500 alertas de segurança na nuvem diariamente. E cerca de metade dos entrevistados disse que mais de 40% das alertas eram falsos positivos. Estou citando diferentes estudos nesta seção, mas você entende a ideia principal: falsos positivos estão desperdiçando uma fatia muito grande do tempo das pessoas.

Então, quanto dinheiro está sendo desperdiçado aqui? Ainda não foi dito, ao que parece. No entanto, há uma menção de que o custo anual da triagem manual de alertas é de US$ 3,3 bilhões nos EUA. Assim, possivelmente, uma soma perturbadoramente grande é dedicada a alarmes falsos.

No entanto, as organizações devem continuar investigando os alarmes. As perdas podem ser dramáticas se elas não conseguirem detectar e responder a uma ameaça real antes que criminosos a encontrem e explorem (uma violação de dados custa em média US$ 4,45 milhões). No entanto, os alarmes podem ser tantos que as organizações não conseguem acompanhá-los. O estudo de 2021 mencionado anteriormente descobriu que organizações de 500 a 1.499 funcionários não abordaram 27% dos alertas que receberam. E uma porcentagem semelhante foi relatada por empresas maiores. O volume de alertas deve ser reduzido, especificamente, os falsos positivos.

Como reduzir os impactos dos falsos positivos

Em primeiro lugar, as organizações devem procurar soluções de testes de segurança que possam fornecer evidências de sua taxa mínima de falsos positivos. Por outro lado, os fornecedores de ferramentas devem melhorar a qualidade dos alertas de seus produtos. De fato, entrevistas com alguns profissionais do centro de operações de segurança (SOC) ajudaram a identificar o que pode ser alterado, pois eles descobriram que os alertas são "não confiáveis, difíceis de interpretar e carecem do contexto necessário para que os analistas filtrem os FPs dos alarmes genuínos". Portanto, os autores desse estudo de entrevista sugerem que os alertas devem ser como segue:

• Confiáveis: Provenientes de métodos que encontram vulnerabilidades com precisão e são frequentemente aprimorados.

• Explicáveis: Oferecer informações compreensíveis sobre por que eles levantam um alarme.

• Contextuais: Levar em consideração características específicas da organização que está sendo avaliada.

A Fluid Attacks oferece taxas mínimas de falsos positivos

Nosso Hacking Contínuo envolve testes de segurança precisos e recomendações de remediação através de GenAI para ajudar as empresas a proteger seus produtos de software. Nossa ferramenta SAST alcançou uma taxa de verdadeiros positivos de 100% e uma taxa de falsos negativos de 0% no OWASP Benchmark v1.2. Além disso, nosso plano Advanced inclui revisões manuais por nossos pentesters, que não apenas encontram vulnerabilidades que as ferramentas não conseguem detectar, mas também examinam as descobertas para descartar quaisquer falsos positivos.

Clique aqui para se inscrever para um teste gratuito de nossas ferramentas.