Co vyplývá z většího množství false positive a false negative událostí?

S pojmy false positive a false negative se nejčastěji setkáme při hodnocení bezpečnostních řešení.

Někdy se můžeme rovněž setkat s pojmem type I error a type II error. Připomeňme si nejprve, co tyto pojmy znamenají.

  • False positive (type I error) nebo také jinak falešný poplach znamená, že nějaké bezpečnostní řešení vygenerovalo alert, neboť nesprávně vyhodnotilo událost v systému jako pokus o překonání určitého bezpečnostního opatření a tedy probíhající útok, který ve skutečnosti útokem vůbec nebyl. Falešný poplach může vygenerovat jakékoliv bezpečnostní řešení, např. IDS/IPS, firewall, antimalware, antispam, apod.
  • False negative (type II error) je pak možné použít v případě, kdy nějaké bezpečnostní řešení nevygenerovalo alert, neboť nevyhodnotilo událost v systému jako pokus o překonání určitého bezpečnostního opatření a tedy probíhající útok. V tomto směru mohlo selhat jakékoliv bezpečnostní řešení, např. IDS/IPS, firewall, antimalware, antispam, apod.

Obecně platí, že i větší míra false positive je akceptovatelnější než false negative, protože je lepší občas ztratit nějaký čas šetřením falešného poplachu, který byl vygenerován nějakým řešením, než se o probíhajícím útoku nedozvědět vůbec a pak čelit následkům tohoto útoku. Nejčastější případy false positive a false negative jsou uvedeny v následující tabulce.

false positive false negative
antimalware obyčejný soubor je označen jako škodlivý a smazán Trojan není detekován a je spuštěn
antiSPAM obyčejný e-mail je označen jako SPAM a není doručen SPAM je doručen
firewall pokus o spojení odmítnuto spojení povoleno
autentizace oprávněný uživatel je odmítnut útočník je vpuštěn do systému

Problém je, že velký počet false positive může vést k tomu, že po čase již není alertům z daného bezpečnostního řešení věnována dostatečná pozornost, obzvlášť pokud obsluha po prošetření daného alertu opakovaně konstatuje, že se opět jednalo o planý poplach. Skutečný útok pak může být ignorován anebo se jednoduše v tom množství falešných poplachů ztratí, neb chvíli trvá, než na něj přijde řada.

Pravda také je, že prošetření každého falešného poplachu zdržuje od užitečnější práce, kterým je bezesporu ladění bezpečnostních řešení, šetření skutečných incidentů a představuje nezanedbatelné náklady ve výši až několika stovek tisíc korun ročně.

Tyto náklady by však přesto měly být výrazně nižší než škoda, která by mohla vzniknout v okamžiku, kdy by nástroj nedetekoval skutečný útok, a útočníkovi by se podařilo proniknout do systému.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Co vyplývá z většího množství false positive a false negative událostí?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: