A presença de falsos positivos nas análises de segurança digital pode prejudicar a eficiência e o bem-estar das equipes de TI, além de afetar a reputação das empresas. Quando atividades e arquivos legítimos são incorretamente identificados como ameaças, há um aumento significativo nos alertas que precisam ser revisados. Esse processo exaustivo não só consome recursos preciosos, mas também pode levar os profissionais a ignorarem alertas que, em outros contextos, exigiriam atenção imediata.
Leia também
Preview do Copilot Autofix no GitHub
Desencriptador gratuito para o ransomware Mallox
O falso positivo, ou “alarme falso”, é uma ocorrência comum em sistemas de segurança que utilizam antivírus, firewalls e mecanismos de detecção de intrusão. Ele surge quando atividades seguras são tratadas como ameaças, elevando custos operacionais e demandando trocas de sistemas. Esses alarmes incorretos, além de sobrecarregar a equipe, impactam a produtividade da empresa e podem prejudicar sua imagem de mercado, especialmente em setores sensíveis, como o de cibersegurança.
Em um cenário de aumento das ameaças digitais, as equipes de TI brasileiras estão enfrentando níveis mais altos de pressão e estresse. Um estudo da ManageEngine, intitulado “The State of Cybersecurity in LATAM 2024”, revela que 66% dos profissionais de TI no Brasil relataram aumento de estresse nos últimos anos, taxa mais alta entre os países pesquisados, como México, Colômbia e Argentina. Esse quadro reforça a urgência de se reduzir falsos positivos e melhorar a eficácia das ferramentas de segurança.
Para contornar esses desafios, Tonimar Dal Aba, gerente técnico da ManageEngine, sugere o uso de tecnologias avançadas como machine learning para detecção de anomalias, bem como a definição de regras de correlação personalizadas. Ele também destaca a importância de se atualizar regularmente os sistemas SIEM, priorizar alertas de acordo com a criticidade e adotar automação em respostas a incidentes. Segundo Dal Aba, ao otimizar as configurações e processos de segurança, as empresas podem focar em ameaças reais, promovendo um ambiente de trabalho mais saudável e fortalecendo sua imagem no mercado.
O especialista dá algumas dicas que podem evitar a reduzir a taxa de falsas incidências:
Detectar anomalias: Usando algoritmos baseados em machine learning (ML), soluções SIEM eficazes conseguem detectar sinais sutis de um ataque. Primeiro, é estabelecido um padrão de atividade esperada para cada usuário e entidade; então, todas as instâncias que se desviam desse padrão são sinalizadas para análise pelos analistas de segurança. Como a intervenção humana é reduzida, a detecção de anomalias com ML pode, por sua vez, reduzir falsos positivos.
Usar regras de correlação bem definidas: Analistas de segurança normalmente também atuam como engenheiros de detecção. Eles precisam criar as regras para que uma solução SIEM detecte ameaças. Essas regras podem, obviamente, ser exclusivas para cada organização, e os analistas precisarão de toda a sua habilidade e experiência. O machine learning (ML) pode ser usado aqui também – o SIEM pode recomendar aos analistas os níveis de limiar para as regras que eles escrevem, ao analisar o comportamento de usuários e entidades.
Obter informações contextuais adicionais: Um SIEM eficaz fornece informações contextuais adicionais sobre uma ameaça, em vez de apenas destacá-la. Os analistas de segurança devem conseguir rapidamente ver informações sobre os usuários e dispositivos envolvidos, a sensibilidade dos ativos e as linhas do tempo dos eventos em investigação. Além disso, eles devem poder navegar prontamente para outras partes da solução para completar seu fluxo de trabalho.
Ajustar o SIEM regularmente: Os analistas devem atualizar as regras de detecção e os limiares com base nas ameaças em evolução e nas mudanças no ambiente. Isso garante que os alertas permaneçam relevantes e precisos. O gerente de SOC deve agendar uma reunião com sua equipe de analistas de segurança pelo menos uma vez por trimestre para revisar as regras de detecção.
Priorizar alertas: Um SIEM que classifica alertas com base na gravidade e relevância ajuda os analistas a focarem nos problemas mais críticos, filtrando o ruído. A gravidade pode ser baseada na sensibilidade do ativo e do dispositivo em questão e no papel das contas de usuário associadas. Se a ferramenta conseguir quantificar o custo provável de um alerta, isso será ainda mais valioso.
Ter um ciclo de feedback: Estabelecer um mecanismo de feedback em que os analistas possam marcar alertas como falsos positivos ajuda a melhorar a precisão do SIEM ao longo do tempo. Isso pode ser feito tanto para detecção baseada em regras quanto em ML. Na detecção com ML, isso é uma subcategoria de aprendizado supervisionado.
Aproveitar o poder da automação: Automatizar respostas para alertas comuns e de baixo risco pode reduzir a carga de trabalho dos analistas, permitindo que eles se concentrem em incidentes mais complexos e potencialmente ameaçadores. Os analistas de segurança não ficam sobrecarregados com alertas que podem ser automaticamente triados, permitindo que se concentrem em ameaças reais.