Cuando un sistema activa una alarma, el equipo de seguridad debe investigarla. Pero si se trata de una falsa alarma —es decir de falsos positivos— los expertos tienen que perder el tiempo ante una amenaza que no existe. Esto cuesta tiempo y recursos, que en casos extremos luego faltan en ataques reales.
Si se producen falsos positivos de forma continua y frecuente, también puede ocurrir que los equipos de seguridad descuiden o incluso ignoren los mensajes de alarma. En última instancia, se pasan por alto las amenazas reales. Esto compromete la eficacia de las medidas de seguridad.
Por lo tanto, los falsos positivos pueden tener efectos negativos reales en la seguridad de la red, por lo que a menudo se utilizan como una métrica importante para los equipos de ciberseguridad. ¿Pero qué pasa si esta cifra es exagerada?
¿FALSA ALARMA O FALSO INDICADOR?
Para ilustrar esto tomemos un ejemplo del área DNS. Imaginemos un algoritmo que detecta el 80% de todos los dominios maliciosos con los que se comunica una red. También estima incorrectamente que el 5% de los dominios legítimos son maliciosos. Aplicamos este algoritmo a un conjunto de datos que contiene un total de 50 dominios, de los cuales el 20%, es decir 10, son realmente maliciosos. Luego, el algoritmo ofrece los siguientes resultados:
•8 de los 10 dominios defectuosos están marcados como peligrosos.
•2 de los 40 dominios legítimos están erróneamente marcados como peligrosos.
•2 de los 10 dominios maliciosos no están marcados erróneamente como peligrosos.
•38 de los 40 dominios legítimos están marcados como no peligrosos.
En este escenario ficticio, el algoritmo encuentra un total de 10 dominios maliciosos, dos de los cuales son realmente legítimos. La tasa de falsos positivos en este ejemplo es 2 /10, es decir, 20%. A partir de la descripción del algoritmo sería erróneo suponer que la tasa es del 5%. Con sólo 50 dominios esto todavía es manejable.
Sin embargo, en realidad las redes se ocupan de muchos dominios y muchas veces con cifras de millones. Además, la proporción de dominios defectuosos suele estar muy por debajo del 10%. Por lo tanto, no es raro que el número de falsos positivos supere el número de verdaderos positivos.
¿Qué pasa si la red del ejemplo anterior no tiene 50 dominios para verificar, sino un millón? El algoritmo devuelve entonces los siguientes números:
•40,000 de los 50,000 dominios maliciosos están marcados como peligrosos.
•47,500 de los 950,000 dominios legítimos están incorrectamente marcados como peligrosos.
•10,000 de los 50,000 dominios maliciosos están marcados incorrectamente como no peligrosos.
•902,500 de los 950,000 dominios legítimos están marcados como no peligrosos.
En este ejemplo, la tasa de falsos positivos es del 54%, lo que ya supera a los verdaderos positivos. Pero ¿cómo se obtienen esas cifras? La respuesta es bastante simple. Los falsos positivos aumentan proporcionalmente al número de objetos. En otras palabras, cuanto mayor sea el conjunto de dominios legítimos, más falsos positivos se producirán. Además, la tasa se ve afectada por el desequilibrio entre dominios legítimos y maliciosos. Este es un ejemplo clásico de propagación de errores, que ocurre una y otra vez en ciberseguridad cuando el volumen es grande y el desequilibrio entre actividades legítimas y maliciosas extremo.
EL IMPACTO ES LO QUE CUENTA
Muchos de los proveedores de soluciones de seguridad de red utilizan métodos de análisis estadístico y aprendizaje automático para proteger a las redes de ataques. Sin embargo, tanto los expertos como los usuarios deben comprender que ni siquiera los mejores algoritmos son omnipotentes.
El rendimiento del análisis de amenazas varía según el entorno. Por lo tanto, la tasa de falsos positivos no es necesariamente el indicador más significativo. Lo que importa es qué tan grande es el impacto real en la red y los recursos.
En ese sentido, los impactos positivos y negativos deben considerarse como una medida de éxito, en lugar de intentar cuantificar únicamente los falsos positivos. Además, cada entorno es diferente, por lo que las soluciones de seguridad siempre deben adaptarse al entorno, sólo así se podrán satisfacer las necesidades individuales.
Por lo tanto, los expertos en seguridad deberían examinar muy de cerca las cifras clave detrás de los algoritmos. Actualmente ya son posibles tasas de falsos positivos del 0,00015% mediante el uso de múltiples algoritmos estadísticos y no estadísticos, aunque también son útiles otros métodos, como la estrategia del ser humano en el circuito y el uso de múltiples niveles de procesamiento para reducir el ruido generado por falsos positivos que tiene un impacto real en los equipos de seguridad.