O que são falsos positivos e falsos negativos na segurança da informação?
No mundo da segurança da informação, “falso positivo” é o termo usado para indicar um arquivo ou item que foi marcado como malicioso de maneira errada. Ou seja, trata-se de um arquivo seguro.
Já o termo “falso negativo” é o oposto. Ele acontece quando um arquivo ou item é rotulado como seguro, mas, na verdade, ele é malicioso.
No final, os falsos positivos e os falsos negativos são falhas e erros encontrados em soluções de segurança que não identificam corretamente os arquivos e itens.
Ficou confuso?
Então, primeiramente, vamos usar uma analogia mais comum para quem não está habituado com a tecnologia da informação. Depois vamos conferir os detalhes mais técnicos, criar exemplos e falar sobre quando acontecem cada uma das ocorrências dentro da segurança da informação. Confira a seguir!
Neste artigo, você vai ler mais sobre:
BEC - Business Email Compromise
Faça o download deste ebook para entender tudo sobre BEC, das características às técnicas mais usadas.
O que é falso positivo e falso negativo?
Para explicar os conceitos de falso positivo e falso negativo, vamos usar aqui os resultados de um exame de gravidez como analogia.
Uma mulher resolveu fazer um teste de farmácia para saber se está grávida ou não. Como, geralmente, estes testes não são extremamente precisos, o resultado do teste deu negativo. Ou seja, ela não está grávida de acordo com o teste.
Porém, algumas semanas depois a gravidez se confirmou. Portanto, o teste revelou um falso negativo. Na verdade, ela estava grávida.
A situação contrária também pode ser verdadeira. Um primeiro teste pode dar positivo e algumas semanas depois a gravidez não se confirmar.
Neste caso, o resultado do teste marcou um falso positivo.
Se trouxermos para a segurança da informação, o teste de gravidez que estamos usando como exemplo seria equivalente a um software ou solução de cibersegurança que é responsável por detectar ou não ameaças.
Neste artigo, você confere outros exemplos de falso negativo e falso positivo, alguns relacionados à pandemia de COVID-19.
Agora que o conceito de ambos os termos está mais claro, podemos deixar a leitura mais interessante e trazer para a tecnologia da informação
Falso negativo na segurança da informação
No caso de um falso negativo, um item malicioso obteve acesso ao seu sistema porque foi classificado como legítimo pela sua solução de proteção. Vamos fazer uma comparação usando o e-mail.
Imagine que a sua empresa recebeu um e-mail que continha um vírus ou ransomware em anexo. Como você recebeu a mensagem, obviamente, a solução de segurança de e-mail que a sua empresa utiliza não detectou a ameaça.
Mas por que a minha solução de segurança não emitiu nenhum alerta? Como a ameaça passou despercebida?
A principal possibilidade para o falso negativo refere-se a uma nova ameaça ou, como dizemos, um ataque de dia zero.
De fato, os ataques recentes são mais difíceis de se combater, até porque os cibercriminosos estão constantemente buscando novas maneiras de atacar, de persuadir e de mentir.
Falso positivo na segurança da informação
Como já dissemos, um falso positivo é uma falha que um software de detecção e proteção gera quando uma atividade legítima é classificada como um ataque.
Invariavelmente, um falso positivo resulta em um site, arquivo ou item sendo colocado em quarentena, bloqueado ou até mesmo excluído.
No início, um falso positivo pode não parecer tão prejudicial quanto um falso negativo, certo?
Mas pense a longo prazo. Quais perdas você teria, por exemplo, se a solução de proteção de e-mail que a sua empresa utiliza bloqueasse frequentemente os e-mails de novos clientes e de fornecedores?
Para usar uma outra analogia, nesse caso, vamos explicar um falso positivo utilizando um alarme de incêndio. Imagine que o alarme de incêndio disparou, todos correram, mas não era nada. Alarme falso.
Agora conte o tempo e a energia que foram gastos neste processo. É por isso que, a longo prazo, um falso positivo pode ser tão prejudicial quanto um falso negativo.
A causa mais comum de falsos positivos é quando o software identifica uma assinatura ou um comportamento de um arquivo como sendo semelhante ao de uma ameaça, como malware, por exemplo.
Como evitar falsos positivos e falsos negativos
Se você utiliza uma solução de cibersegurança que gera muitos falsos positivos, você pode enviar amostras dos arquivos para a fabricante da solução, adicionar os arquivos a uma lista safe list ou ainda avaliar outras soluções.
Os falsos negativos tendem a ser mais perigosos. Por isso, a melhor maneira de evitá-los é manter a sua solução atualizada, para que amostras de diferentes ameaças também se mantenham sempre atuais.
Se você está buscando reduzir alarmes falsos especificamente no e-mail, considere a Gatefy. Afinal, somos especialistas em soluções para segurança de e-mail, referências no mercado brasileiro e inovadores quando o assunto é tecnologia.
Esperamos que este artigo tenha solucionado todas as suas dúvidas sobre falso negativo e falso positivo, afinal, foram três exemplos distintos para conceituar os termos. Além disso, trouxemos a aplicação destes termos na segurança da informação.
Com isso, agora você está capacitado para identificar as ocorrências e buscar soluções para dar mais eficiência ao seu dia a dia e ao da sua empresa.