Immaginate di ricevere un avviso dal vostro antivirus o dal sistema operativo che segnala la presenza di un elemento malevolo. Subito ci allarmiamo, solo per scoprire, dopo un’attenta verifica, che si trattava di un falso allarme. Questo fenomeno, noto come falso positivo, è più comune di quanto si possa pensare e può avere conseguenze significative per la nostra sicurezza e quella della nostra organizzazione.
I falsi positivi non si limitano solo al campo della sicurezza informatica; li troviamo in vari ambiti, dalla medicina allo sport. Durante la pandemia di Covid-19, il termine è diventato parte del nostro vocabolario quotidiano a causa dei frequenti tamponi antigenici. Tuttavia, quanto sappiamo veramente sull’origine e sulla definizione di un falso positivo?
Un rilevamento malevolo in realtà falso può generare serie conseguenze per noi e la nostra organizzazione. Quante volte ci è capitato di ricevere una notifica dai nostri antivirus o dagli stessi sistemi operativi circa la presenza di un elemento malevolo rilevato all’interno della nostra sessione? E quante volte ci siamo ritrovati a scoprire che tale rilevazione era in realtà completamente infondata, poiché l’elemento in questione era innocuo?
In questo articolo, gli esperti di Cyberment esaminano in dettaglio cos’è un falso positivo, i rischi associati e le strategie per ridurne l’incidenza.
Cos’è un falso positivo?
«Il termine falso positivo in informatica indica un avviso di sicurezza errato nei confronti di un elemento etichettato come malevolo all’interno del sistema, laddove questo non lo è affatto. Tale fenomeno è molto conosciuto da chi ha esperienza con il computer, con gli antivirus commerciali o con i più avanzati SIEM, in quanto capita molto spesso di incappare in avvisi di rilevamenti indesiderati di semplici file completamente innocui.
Solitamente questi si generano a seguito di un’interpretazione errata da parte dei software antivirus commerciali, in quanto nel loro database è presente un file con estensione e pattern malevolo molto simili a quelli che passano in quel momento sotto la loro lente di ingrandimento.
La somiglianza tra il modello in memoria e il file impiegato dall’utente, genera l’allarme e l’antivirus provvede prima a emanare la notifica, per poi bloccare l’innocuo file incriminato.
Anche nell’ambiente della posta elettronica si verificano esempi di falsi positivi.
Spesso capita che il modulo anti-phishing etichetti come malevola una e-mail autentica, solo in virtù del dominio non presente nel suo database.
Per cui questa finisce automaticamente nella casella dello spam, con il rischio di venir cancellata automaticamente a seguito di un’azione autorizzata dall’utente stesso.
La stanchezza da allerta
Come abbiamo potuto constatare finora, il falso positivo è un problema da non sottovalutare, in quanto genera un allarme serio per un problema in realtà inesistente. Quest’ultimo finisce per avere serie ripercussioni sia sull’utente, che sull’organizzazione di cui fa parte.
Tuttavia, questo sa essere anche più serio nel campo della sicurezza informatica, specialmente se ci si addentra nell’ambito del Vulnerability Assessment.
Questo perché viene scoperta una potenziale falla nell’architettura di sicurezza che passa al vaglio degli esperti, spingendo questi ultimi a dover prendere le dovute contromisure per far rientrare l’allarme e correggere una criticità che in realtà non esiste.
Il susseguirsi di fenomeni del genere finisce col creare un problema ancora più critico: la cosiddetta stanchezza da allerta.
Questa rappresenta l’accumulo di eventi di sicurezza e rumore di sottofondo viene gestito su base giornaliera dagli amministratori del sistema e dal team cybersecurity, con la conseguenza del blocco della comune attività dei dipendenti.
Il fenomeno in rapida crescita non va sottovalutato in nessun modo, poiché crea sfiducia da parte dei consumer in un prodotto antivirus, stanchezza cronica in un addetto ai lavori dietro le quinte e una generosa dose di incoscienza in quanti si ritrovano bombardati di notifiche inerenti a minacce inesistenti.
Questi ultimi decidono infine di disattivare completamente le loro misure protettive, esponendo così i loro sistemi a minacce concrete.
Secondo quanto rilevato dallo studio The Orca Security 2022 Alert Fatigue Report, si stima che il 20% degli alert di sicurezza in soluzioni cloud based è classificato come falso positivo.
Tra gli elementi fautori dei falsi positivi e della conseguente stanchezza da allerta, si indicano:
- Firewall
- Antivirus
- Antimalware
- Antiphishing
- EDR (Endpoint Detection & Response)
- DLP (Data Loss Prevention)
- Vulnerability Assessment
- Penetration Test
- SIEM
I rischi di un falso positivo
La generazione di un falso positivo all’interno della sicurezza informatica ha serie ripercussioni su buona parte dell’azienda o anche sulla totalità della stessa. Questo perché si viene a generare una serie di malfunzionamenti e una conseguente reazione a catena nei sistemi informativi.
Tra i più gravi si citano:
Impatto sulle normali operazioni lavorative
Le azioni correttive automatiche che si attivano a seguito di un falso positivo dai SIEM e dai software antivirus commerciali comportano l’interruzione del servizio erogato. Con un’analisi continua ed errata delle informazioni che passano al loro vaglio, le protezioni possono impedire il funzionamento di un determinato tool o l’accesso ad una precisa risorsa di rete, in realtà legittime, con i dipendenti dell’azienda impossibilitati a svolgere le loro mansioni.
Incremento della sfiducia nei rilevamenti
Troppi falsi positivi rilevati e troppi allarmi ingiustificati comportano l’aumento della sfiducia da parte dei lavoratori o dei semplici consumatori, nei confronti di una o più soluzioni di protezione. Ciò comporta l’insorgenza concreta di minacce reali, che sono libere di introdursi nella rete aziendale o nel singolo sistema dell’utente sfiduciato.
Spreco di tempo e risorse
La nostra era è caratterizzata da velocità, produttività e carichi di lavoro quasi insostenibili.
Con l’insorgere di falsi positivi, il team di cybersecurity si ritrova oberato di ulteriori controlli da effettuare, che alla fine si rivelano completamente inutili. Ciò causa una notevole perdita di tempo e comporta un calo della produttività da parte di chi lo subisce, in quanto l’esperto perde di vista i comportamenti sospetti considerati davvero prioritari per la sicurezza.
Problemi di comunicazione
A causa di un falso positivo non è raro che si assista a episodi in cui non vi è comunicazione fra il team produttivo e quello di sicurezza.
Molto spesso accade che venga programmata una manutenzione sul sistema, senza però che gli esperti di sicurezza siano messi al corrente. Le operazioni di manutenzione generano un traffico di rete anomalo, che automaticamente passa al vaglio degli addetti alla sicurezza.
Tuttavia, ad indagine avviata, emerge che si è trattato di una semplice manutenzione e di conseguenza non era presente alcun attacco.
Come si possono ridurre i falsi positivi?
Poiché la maggior parte dei software presenti oggigiorno sul mercato è basata su componenti preventivi e reattivi, è necessario saper distinguere in anticipo quali sono le minacce realmente esistenti.
Per cui si rende necessario stabilire forti difese nei confronti di strumenti realmente dannosi per il sistema, invece di agire in maniera automatica.
Un’altra possibile soluzione la si può ricercare nell’intelligenza artificiale.
Quest’ultima, se sottoposta a un determinato addestramento mediante modelli e schemi ben precisi, potrebbe risolvere il problema della complessità di rilevamento di un falso positivo. Questo perché essa in futuro potrebbe essere in grado di archiviare, richiamare e modellare autonomamente intere librerie con payload precedentemente identificati.
Si rende inoltre necessario dover contestualizzare i dati in base alle attività che si svolgono in loco.
Senza una precisa contestualizzazione si incorre in un’interpretazione errata dei dati grezzi che passano al vaglio delle analisi antivirus. Questa va applicata anche sulle reti, in modo da rafforzare il motore IPS e dare un contesto anche alle singole reti Wi-Fi presenti nell’area.
Si deve inoltre cercare di comprendere meglio gli ambienti IT e OT, in quanto ciascuno dei quali presenta caratteristiche tecniche specifiche.
Senza una comprensione preliminare, né l’analista, né tantomeno il software di sicurezza, saranno in grado di determinare l’effettiva veridicità dei rilevamenti effettuati.
Infine, si deve garantire un egual livello di comunicazione tra il team di produzione e il team di sicurezza. Così facendo si possono evitare spiacevoli errori di rilevamento e conseguente spreco di tempo e risorse, nel momento in cui viene effettuata una manutenzione del sistema.
In conclusione
L’espressione “troppi dati uccidono i dati” calza a pennello per la descrizione del falso positivo.
La nostra era e la nostra società sono legate a doppio filo dalle innovazioni e dal mondo dell’informatica, in cui le misure di sicurezza e le best practice per ridurre l’insorgenza dei problemi difficilmente sono prese in considerazione o attuate.
Sino a quando non si avrà l’implementazione di una nuova architettura per il rilevamento di minacce e l’eliminazione dei falsi positivi, le aziende e gli utenti comuni dovranno continuare a fare affidamento sul buon senso e ad ascoltare i consigli che giungono dagli esperti di sicurezza informatica.
Solo così si potrà davvero ridurre l’impatto di un rilevamento errato e l’insorgenza della stanchezza da allerta».
