Falsi positivi in informatica, che cosa sono
Con la diffusione del Covid-19 e dei tamponi abbiamo acquisito familiarità con i termini “falso positivo” e “falso negativo“.
Ci hanno spiegato che questi errori sono quasi impossibili da eliminare del tutto e affliggono qualsiasi tipo di test.
Ebbene sì, non si tratta di un fenomeno esclusivamente legato all’ambito sanitario, i falsi positivi esistono anche nel campo della sicurezza informatica.
Che cosa sono?
Quali rischi comportano i falsi positivi in cybersecurity per la mia azienda?
Da cosa sono causati?
In questo articolo chiariremo ogni dubbio sul tema.
Sommario degli argomenti
Nella sicurezza informatica, si parla di falso positivo nel caso in cui un test di sicurezza (nel caso di un Vulnerability Assessment, ad esempio) generi un allarme relativo ad un problema di cybersecurity che risulti però infondato. Ovvero nel caso in cui una minaccia viene rilevata e segnalata ma che in realtà non lo è.
Tuttavia, i falsi positivi si generano in molteplici occasioni.
Ad esempio, un antivirus che etichetta come malware un programma del innocuo e legittimo.
Oppure, un software anti-phishing che rigetta una e-mail autentica categorizzandola come e-mail spam.
Insomma, si verifica la presenza di un falso positivo, ogni qual volta viene erroneamente rilevato un rischio informatico dai sistemi di sicurezza.
Negli ultimi anni il numero di attacchi informatici è cresciuto vertiginosamente, così come la percentuale di aziende che è vittima di almeno un attacco ogni anno. Questo ha reso indispensabile l’implementazione di soluzioni di sicurezza che permettano la prevenzione, la difesa e il ripristino delle attività, come:
- Firewall
- Software antivirus e antimalware
- Rilevamento e risposta degli endpoint (EDR)
- Test di vulnerabilità
- Penetration Test
- Sistemi di prevenzione delle intrusioni
- Piattaforme SIEM
Se da un lato queste tecnologie sono al giorno d’oggi insostituibili spesso se non correttamente gestite possono dare falsi positivi.
Secondo quanto pubblicato su Falsty a fine 2021, il 45% degli avvisi di sicurezza sono infondati ed è necessario lo stesso tempo per risolvere falsi positivi e attacchi reali.
Questo può creare difficoltà e affaticare il team di sicurezza informatica che può pensare addirittura che sia meglio abbandonare quel tipo di difesa. Appare evidente l’esigenza di limitarli il più possibile.
Insomma, questi avvisi possono essere faricosi da gestire e rallentare addirittura i processi aziendali ma l’alternativa di abbandonare le proprie difese non è percorribile: e dunque, come trovare un buon compromesso?
Ecco alcuni brevi consigli per migliorare le prestazioni delle soluzioni di sicurezza per la tua attività:
-
Preferire delle soluzioni integrate che possano proteggerti efficacemente.
Troppi software rallentano il sistema e si pestano i piedi a vicenda. Causando tra le altre cose, un maggior numero di falsi positivi.
-
Riduci le sorgenti da cui potrebbe provenire una minaccia.
Limita endpoint, applicazioni superflue o non aggiornate, servizi cloud non opportunamente configurate, server, router e in generale i dispositivi connessi alla rete aziendale.
-
Regola le soglie di avviso in modo oculato
se queste sono troppo restrittive si genereranno falsi positivi in eccesso, se sono troppo permissive, c’è il rischio che qualche minaccia concreta non venga segnalata. Assegna delle priorità agli avvisi in base al rischio associato allo specifico evento.
-
Imposta i sistemi in modo che gli avvisi siano il più possibile contestualizzati.
Così renderai più agevole la ricerca e la risoluzione del problema, risparmiando tempo e fatica.
-
Applica tutte le buone pratiche della sicurezza informatica (aggiornamenti, password robuste, formazione per i dipendenti,…)
Ogni programma in grado di difendere la sicurezza informatica della tua azienda causa a volte degli avvisi che non corrispondo ad una minaccia reale.
Questo avviene quando le impostazioni di sicurezza sono troppo rigide, quando alcuni programmi legittimi fanno azioni simili a quelle che il sistema di sicurezza identifica come dannose (ad esempio, un software che cancella le copie shadow) o in molti altri casi.
Questo può mettere sotto pressione il reparto di sicurezza della società e addirittura convincere alcune aziende a non usufruire di queste soluzioni.
Questa non è una scelta sicura
Molto meglio è configurare tutti gli strumenti opportunamente per limitare il problema e sforzarsi di mantenere alta l’allerta anche dopo una lunga serie di allarmi infondati.
Purtroppo, al momento, non esiste una soluzione sicura e che garantisca al contempo la totale assenza di falsi positivi. Le statistiche ci suggeriscono che non è il caso di lesinare in sicurezza.
Chi è Onorato Informatica?
Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001
Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.
Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica.
Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.
- Autore articolo
- Ultimi articoli
Laureata in Fisica, sta proseguendo gli studi in “Fisica dell’atmosfera, climatologia e meteorologia” presso l’università di Roma Tor Vergata. Nel frattempo, unisce la sua passione per la scrittura a quella per la cybersecurity per promuovere la consapevolezza digitale attraverso il blog di Onorato Informatica.
