Dynsec: Abordagens Sobre Falso Positivo e Falso Negativo

Quem atua de forma constante no cenário da segurança da informação, principalmente analistas, investigadores, peritos de um modo geral e até mesmo estudantes da área forense, certamente já escutou muito falar sobre os termos "Falso Positivo (FP)" e "Falso Negativo (FN)". E aí vem a pergunta: o que esses termos significam? Eles são ligados aos sistemas NIDS (Network Intrusion Detection System), além de ter ligação com ferramentas de detecção de falhas ou qualquer tipo de ameaças.

Falso Positivo: em um NIDS (Network Intrusion Detection System), é um termo utilizado para um alerta gerado por um tráfego comum, de caráter não malicioso, com grandes possibilidades de ser disparado via assinatura ou através de algum procedimento que exija ajustes necessários. Os falsos positivos tem uma popularidade maior que os negativos.

Falso Negativo: no contexto de um sistema NIDS, trata-se de um tráfego de origem maliciosa que não foi identificado, pois não houve nenhum alerta gerado para a sua existência. Ele tem a capacidade de passar por barreiras de proteção sem que haja identificação. Muitas vezes isso deixa o identificador tranquilo, devido ao fato de não haver a detecção da falha (que existe SIM); ele fica certo de que não existe vulnerabilidade em tal sistema. Isso ocasiona uma ambiente problemático e preocupante.

O Dynsec disponibiliza em sua página todas as informações sobre "Falsos Positivos" e "Falsos Negativos", assim como vários métodos para lidar com eles e assegurar que o sistema esteja protegido, embora saibamos que não há ferramenta, software ou sistema que, por mais sofisticados que sejam seus mecanismos de defesa, não podem ser considerados 100% seguros.


Saiba Mais:

[1] Dynsec: http://blog.dynsec.com.br/