As más decisões de negócio podem custar muito caro, especialmente no âmbito da cibersegurança, onde a rotulagem de itens limpos como maliciosos (os chamados falsos positivos) pode ter consequências muito prejudiciais.
Então, como é possível manter as taxas de erro baixas, sustentar as taxas de detecção e manter a proteção forte? Combinando uma solução de segurança bem afinada e uma supervisão humana experiente. Como sabemos, uma única tecnologia de proteção significa uma só barreira para os cibercriminosos.
Na cibersegurança, tudo gira em torno a uma questão: a amostra detectada é maliciosa ou limpa?
No universo da cibersegurança, tudo gira em torno a uma questão básica: a amostra detectada é maliciosa ou limpa? Como na vida, a resposta é mais complicada do que apenas essas duas opções, criando uma vasta área cinzenta onde as coisas boas e ruins se assemelham.
Renomados fornecedores, como a ESET, acabam enfrentando esse dilema todos os dias. Com um número crescente de clientes a nível global, o número de itens que precisam ser avaliados aumenta junto com o risco de causar os chamados falsos positivos.
O termo descreve os erros que ocorrem quando uma solução de proteção rotula incorretamente itens limpos como maliciosos. Isso faz com que os arquivos sejam colocados em quarentena, bloqueados ou excluídos. No entanto, muitos fornecedores que defendem a pós-verdade optam por minimizar a sua importância e, em vez disso, enfatizam suas capacidades de aprendizagem automática.
Agora, nem todo falso positivo significa necessariamente o colapso total da infraestrutura de TI de uma empresa. Alguns erros só têm um impacto menor nas operações diárias e podem ser resolvidos adicionando uma exceção simples. No entanto, outras falhas podem interromper a continuidade do negócio e, portanto, ser potencialmente ainda mais destrutivo do que uma infecção por malware.
A detecção agressiva pode causar uma avalanche de falsos positivos
A maioria das empresas usam sistemas com propósitos gerais (em outras palavras, endpoints) que precisam se comunicar com o "mundo exterior". Com a tendência atual de dados não-estáticos de entrada, é muito difícil prever como todos os insumos limpos devem parecer. E agora que os aplicativos se transformaram em meros executores, cada entrada de dados pode potencialmente torná-los maliciosos e, portanto, precisa ser monitorado e corretamente rotulado.
Basta imaginar uma fábrica interrompendo a produção porque sua solução de segurança rotulou parte do software como malicioso e o excluiu
O uso de uma detecção agressiva, entre as que são vistas em algumas soluções dos fabricantes da pós-verdade, não resolvem essa situação. Pelo contrário, em tais condições, a detecção agressiva pode levar a uma taxa alarmante de falsos positivos, sobrecarregando o departamento de TI e tornando as estações de trabalho inutilizáveis. Isso levaria a perdas financeiras e de produtividade para uma empresa.
O que é pior, com centenas de falsos alarmes, os administradores só teriam duas opções: manter as configurações rigorosas e perder tempo lidando com os falsos positivos, ou afrouxar a configuração de proteção, o que ao mesmo tempo provavelmente criaria novas vulnerabilidades nos sistemas da empresa.
Você deve se perguntar, como seria difícil para os atacantes provocar e explorar tal cenário, se uma solução agressiva estivesse instalada?
Por que se preocupar com os falsos positivos?
Além dos endpoints disfuncionais, existem outros cenários preocupantes causados por falsos positivos. Basta imaginar uma fábrica automotiva interrompendo a produção porque sua solução de segurança rotulou parte do software da linha de produção como malicioso e, consequentemente, o excluiu. Um erro como esse pode se traduzir em grandes atrasos, prejuízos à reputação e perda de milhões de dólares.
Em tais situações, uma correção rápida é necessária. No entanto, uma solução protetora que se baseia fortemente na aprendizagem automática não supervisionada, como muitos dizem que ocorre, pode levar a sessões de atualização dolorosamente longas. Isso ocorre porque o modelo de machine learning requer uma atualização e, em seguida, precisa passar por outra fase de aprendizagem para distinguir corretamente entre itens limpos e maliciosos.
Nas soluções de machine learning podem aparecer erros durante a avaliação das amostras tão cedo quanto no período de aprendizagem e, sem a supervisão do processo, podem ficar lá por um longo período antes de causar estragos.
Alcançando o equilíbrio
Então, como uma empresa pode alcançar o equilíbrio quando se protege de itens maliciosos e minimiza os falsos positivos para um nível administrável? Honestamente, seria fácil obter 100% de detecção ou 0% de falsos positivos, mas é impossível ter ambos ao mesmo tempo.
Cabe a cada empresa decidir qual o grau de restrição de seus sistemas para alcançar o nível desejado de proteção
Alguns ambientes de TI exigem monitoramento 24 horas por dia, 7 dias por semana e uma pessoa responsável que possa reagir quase instantaneamente a qualquer atividade suspeita ou notificação de segurança. Esse é certamente o caso de sistemas sensíveis, como a fábrica de automóveis que descrevemos acima.
Em ambientes restritivos, como terminais de colaboradores de bancos, com dispositivos idênticos executando um conjunto limitado de aplicativos, os administradores podem optar pela lista de permissões. Isso permite que eles criem uma lista detalhada de ações e software autorizados. Qualquer coisa fora da lista fica bloqueada, independentemente de ser limpo ou malicioso.
Esse enfoque reduz significativamente a superfície de ataque e minimiza os falsos positivos, mas também diminui a funcionalidade do sistema e não é aplicável universalmente. Outro inconveniente para essa abordagem é que o bloqueio de atualizações automáticas pode forçar aos usuários de endpoints a executarem versões vulneráveis de um aplicativo.
O uso “inteligente” das listas brancas, com exceções definidas para atualizações, caminhos ou nomes de arquivos, pode evitar esse problema, mas também pode abrir a porta para os cibercriminosos.
O que é melhor para você?
Praticamente todos os negócios no mundo usam uma mistura única de software e soluções dentro de sua rede. Cabe, portanto, a cada empresa decidir qual o grau de restrição de seus sistemas para alcançar o nível desejado de proteção.
Se o sistema pode ser reduzido a funcionalidade mínima, diminui a superfície de ataque, mas deixa de fora um monte de atividade legítima e arquivos. Por outro lado, para algumas empresas um falso positivo teria um custo maior do que uma infecção potencial por malware, o que os obriga a correr o risco.
A forma mais eficaz de proteger sistemas de propósitos gerais e redes é implementar uma solução de segurança completa e bem afinada, com altas taxas de detecção e uma taxa de falsos positivos próxima de zero; e além disso, supervisioná-la com administradores experientes que possam cuidar dos raros casos em que ocorram falsos positivos.
Alguns fabricantes defensores da pós-verdade podem argumentar que, implementando a machine learning, podem evitar a necessidade dessa "variável humana" na equação. No entanto, a experiência do ESET mostra que é crucial usar aprendizagem automática dentro dos limites adequados e corrigir seus possíveis erros.
Veja a nossa série completa e os próximos assuntos:
- Editorial: combatendo a “pós-verdade” com realidade no âmbito da cibersegurança
- Não compre o elixir da juventude: machine learning não é uma solução mágica
- Quando a publicidade bate de frente com a realidade: a verdade sobre o machine learning
- A aprendizagem automática e as matemáticas não podem vencer aos cibercriminosos
- Uma única tecnologia de proteção significa apenas uma barreira para os cibercriminosos
- Os falsos positivos podem ser mais caros do que uma infecção por malware
- Como as atualizações tornam a sua solução de segurança mais forte?
- Conhecemos o ML, o usamos há mais de uma década
Texto escrito com a colaboração de Jakub Debski & Peter Kosinar.