Falsos positivos: queman un 25% de recursos de ciberseguridad

Los falsos positivos son siempre una preocupación según comenta el Ing. Pablo Abdian.

Los falsos positivos son siempre una preocupación según comenta el Ing. Pablo Abdian.

Los falsos positivos son siempre una preocupación cuando se trabaja con grandes cantidades de datos de varias fuentes de monitoreo, como dispositivos de red, puntos finales y aplicaciones.

Cualquier compañía puede marcar una aplicación que solo funciona durante una zona horaria específica y si una empresa o un empleado subcontratado está trabajando en otra zona horaria del otro lado del mundo, esto marcaría un falso positivo.

Además, los falsos positivos son el resultado de configuraciones de sistema de terceros que no son aplicables a la infraestructura de la organización y no cuentan con un sitema de análisis cognitivo capaz de categorizar amenazas.

Falsos positivos en escala

La cantidad de datos recopilados dependerá de la amplitud de los datos encuestados y “hasta qué punto se lanza en la red“.

Si el reparto es estrecho, entonces la información es limitada, pero la puntuación de falsos positivos podría ser menor en comparación con una red de reparto más amplia donde esto puede aumentar, pero la necesidad de más información se recopila para el análisis cognitivo.

Tener un piloto humano siempre es importante para navegar a través de los datos, ya sea con falsos positivos o no.

Si bien se dedica tiempo y recursos a tratar los falsos positivos, es importante que las organizaciones puedan capacitar y educar a los analistas para detectarlos rápidamente utilizando herramientas de análisis cognitivo preparadas para categorizar la gravedad de las alertas y seguir adelante por orden de capacidad de cada amenaza.

Siempre necesita un piloto en un avión para lidiar con los eventos que pueden ocurrir y, a veces, desea el piloto de tormentas, que nos salva de un desastre.

Sus analistas deberán clasificar y verificar para asegurarse de que el evento sea legítimo y real antes de tomar medidas, pero ahorrar un 25% de incidentes es sin duda una gran ventaja, que ningún CISO moderno puede despreciar.

Tercerizar el manejo de datos desestructurados de una red, confiándolos a una solución eficiente, es la mejor opción de seguridad hoy en día.

 

Por Ing. Pablo Abdian, Member Of The Board Of Advisors at Mototech; KUDU VR member of the board Ashburn, Virginia