Las malas decisiones de negocio pueden ser muy costosas, especialmente en ciberseguridad, donde catalogar ítems limpios como maliciosos (los llamados falsos positivos) puede tener consecuencias muy dañinas.
Entonces, ¿cómo mantener las tasas de error bajas, sostener las de detección y mantener la protección fuerte? Combinando una solución de seguridad bien afinada y la supervisión humana experimentada. Después de todo, una sola tecnología de protección significa una sola barrera para los atacantes.
En ciberseguridad, todo gira en torno a una cuestión: la muestra detectada, ¿es maliciosa o está limpia?
En el universo de la ciberseguridad, todo gira en torno a una cuestión básica: la muestra detectada, ¿es maliciosa o está limpia? Como en la vida, la respuesta es más complicada que estas dos opciones, lo que crea una gran área gris en la que los componentes benignos y malignos se parecen entre sí.
Los fabricantes establecidos, como ESET, deben enfrentar ese dilema cada día. Con una cantidad de clientes creciente a nivel global, el número de ítems a evaluar crece junto al riesgo de causar falsos positivos.
El término describe los errores que se dan cuando una solución de protección etiqueta incorrectamente a componentes limpios como maliciosos. Esto hace que se pongan en cuarentena, se bloqueen o se borren. Sin embargo, muchos fabricantes que defienden la post-verdad eligen minimizar su importancia, enfatizando en cambio sus mecanismos de aprendizaje automático (machine learning o ML).
Ahora, no todo falso positivo significa necesariamente el colapso total de la infraestructura de TI de una empresa. Algunos errores solo tienen un impacto menor en las operaciones diarias y pueden ser resueltos añadiendo una simple excepción. Pero otros fallos pueden interrumpir la continuidad del negocio y ser potencialmente más destructivos que una infección de malware.
La detección agresiva puede causar una avalancha de falsos positivos
La mayoría de las empresas usa sistemas con propósitos generales (en otras palabras, endpoints) que necesitan comunicarse con el "mundo exterior". Con la tendencia actual de datos entrantes no estáticos, es muy difícil predecir cómo deberían lucir todos los registros limpios. Y ahora que las apps han mutado a meras ejecutoras, cada entrada de datos puede potencialmente volverlas maliciosas, por lo que necesita ser monitoreada y correctamente catalogada.
Imagina que una fábrica interrumpe la producción porque su solución de seguridad etiquetó a parte del software como malicioso y lo borró
Usar una detección agresiva, de las que se ven en las soluciones de los fabricantes de la post-verdad, no resuelve esta situación. Por el contrario, en esas condiciones, la detección agresiva puede derivar en una tasa alarmante de falsos positivos, sobrecargando al departamento de TI y dejando a los puestos de trabajo inutilizables. Esto llevaría a pérdidas financieras y de productividad.
Lo que es peor, con cientos de falsas alarmas, los administradores solo tendrían dos opciones: mantener las configuraciones estrictas y perder tiempo lidiando con los falsos positivos, o aflojar la protección, lo que al mismo tiempo crearía nuevas vulnerabilidad en los sistemas de la compañía.
Debes preguntarte cuán difícil sería para los atacantes provocar y explotar un escenario así si hubiese una solución agresiva instalada.
Por qué deberían importarte los falsos positivos
Además de endpoints disfuncionales, hay otros escenarios preocupantes causados por los falsos positivos. Imagina una fábrica automotriz interrumpiendo la producción porque su solución de seguridad etiquetó a parte del software de línea de producción como malicioso y, en consecuencia, lo borró. Un error como ese puede traducirse en grandes demoras, daños a la reputación y pérdidas por millones de dólares.
En esas situaciones, se necesita una solución rápida. Sin embargo, una solución de protección que depende de aprendizaje automático no supervisado, como muchos dicen que sucede, puede derivar en sesiones de actualización dolorosamente largas. Esto se debe a que el modelo de machine learning requiere de una actualización y luego de otra fase de aprendizaje, para distinguir correctamente entre componentes limpios y maliciosos.
En las soluciones de machine learning pueden aparecer errores al evaluar muestras desde muy temprano, incluso desde la fase de aprendizaje; sin supervisión del proceso, pueden permanecer allí por un período extendido antes de causar un caos.
Alcanzando el equilibrio
Entonces, ¿cómo puede una compañía alcanzar el equilibrio en el que se protege de lo malicioso y minimiza los falsos positivos a un nivel manejable? Honestamente, sería fácil llegar al 100% de detección o 0% de falsos positivos, pero es imposible alcanzarlos a los dos al mismo tiempo.
Depende de cada negocio decidir cuán restrictivos deberían ser sus sistemas para alcanzar el nivel deseado de protección
Algunos entornos de TI requieren monitoreo 24/7, y una persona responsable que pueda reaccionar casi de manera instantánea a una actividad sospechosa o notificación de seguridad. Este es el caso en sistemas sensibles, como la fábrica automotriz que describimos arriba.
En entornos restrictivos, como terminales de empleados de bancos, con dispositivos idénticos ejecutando un grupo limitado de aplicaciones, los administradores pueden optar por listas blancas. Esto les permite crear una lista detallada de acciones y software autorizado. Todo lo que esté por fuera es bloqueado, sin importar si es malicioso o no.
Este enfoque reduce la superficie de ataque de manera significativa y minimiza falsos positivos, pero también limita la funcionalidad del sistema y no es aplicable de manera universal. Otro inconveniente es que bloquear las actualizaciones automáticas puede forzar a los usuarios de endpoints a ejecutar versiones vulnerables de una aplicación.
El uso "inteligente" de listas blancas, con excepciones definidas para actualizaciones, rutas o nombres de archivos, puede esquivar el problema, pero también puede abrir la puerta a atacantes.
¿Qué es lo mejor para ti?
Prácticamente cada negocio en el mundo usa una mezcla única de software y soluciones en su red. Depende, por lo tanto, de cada negocio, decidir cuán restrictivos deberían ser sus sistemas para alcanzar el nivel deseado de protección.
Si el sistema puede ser limitado a una funcionalidad mínima, baja la superficie de ataque, pero deja por fuera mucha actividad legítima y archivos. Por otro lado, para algunas empresas un falso positivo tendría un costo mayor que una potencial infección, lo cual los fuerza a correr el riesgo.
La forma más efectiva de proteger los sistemas de propósitos generales y redes es ejecutar una solución de seguridad completa y bien afinada, con altas tasas de detección y una tasa de falsos positivos cercana a cero; y además, supervisarla con administradores experimentados que pueden ocuparse de los raros casos en que haya falsos positivos.
Algunos fabricantes defensores de la post-verdad podrían argumentar que al implementar machine learning pueden evitar la necesidad de esta "variable humana" en la ecuación. Sin embargo, la experiencia de ESET muestra que es crucial usar aprendizaje automático dentro de los límites adecuados, y corregir sus posibles errores.
La serie completa de artículos sobre este tema:
- Editorial: combatiendo la “nueva verdad” con realidad en el ámbito de la ciberseguridad
- ¿Qué son machine learning y la inteligencia artificial?
- Los conceptos erróneos y malentendidos más comunes sobre ML y AI
- Por qué la seguridad basada en ML no asusta a los adversarios inteligentes
- Por qué una línea de defensa no es suficiente, aunque sea machine learning
- Cazando fantasmas: Los costos reales de las tasas altas de falsos positivos
- Cómo las actualizaciones fortalecen tu solución de seguridad
- Conocemos ML, lo hemos estado usando durante más de una década
Con la contribución de Jakub Debski & Peter Kosinar.