Fluid Attacks, compañía dedicada a realizar pruebas de seguridad, entregó detalles sobre el problema que pueden significar los falsos negativos (o fugas) en ciberseguridad, que son vulnerabilidades que existen dentro de un sistema o software, pero que las herramientas automatizadas de búsqueda de vulnerabilidades o los analistas de seguridad no logran detectar cuando se evalúa o prueba un sistema.
“En ciberseguridad los falsos negativos representan un problema aún mayor que los falsos positivos, porque generan una falsa sensación de seguridad en los sistemas. Esto les impide a las compañías estimar sus riesgos reales, y determinar adecuadamente los recursos monetarios y humanos necesarios para mitigar la explotación de esas vulnerabilidades por parte de atacantes maliciosos”, explicó Vladimir Villa, CEO de Fluid Attacks.
Una empresa que tiene una estrategia de seguridad, pero presenta falsos negativos dentro de sus sistemas, no podrá gestionar el riesgo real. La organización se podría ver expuesta a ataques elaborados que pueden acarrear fraudes, pérdidas económicas y de información, y generar riesgos de reputación corporativa.
“Muchas veces este tipo de vulnerabilidades no se detectan debido a que las herramientas automáticas usadas para ejecutar las pruebas de seguridad, aunque entregan reportes con rapidez, no están al nivel de la inteligencia humana para entender e identificar todos los tipos de vulnerabilidades”, agregó Villa.
Según Fluid Attacks, las posibilidades de que las herramientas de detección automática omitan ciertas vulnerabilidades de un sistema son altas, con tasas de fuga que van desde un 75% a un 99%. En cambio, esa cifra en hackers capacitados suele estar alrededor del 5%, lo que indica que los humanos tienden a equivocarse menos al buscar vulnerabilidades.
Además, la empresa indica que cuando un falso negativo es detectado, es importante determinar por qué no fue identificado con anterioridad. Para esto se recomienda tener en cuenta los siguientes factores:
-¿Cuál fue la cobertura de la prueba realizada? Es decir, ¿se probó todo el sistema o solo una porción del mismo?
-¿Qué tan rigurosa fue la prueba realizada? Se debe determinar si se hizo una prueba estática (revisión al código fuente desarrollado para crear el sistema) y una prueba dinámica (usar el sistema como un usuario e intentar hacer fallar la aplicación o el sistema).
-¿La prueba de seguridad al sistema fue realizada solo con herramientas automáticas de detección de vulnerabilidades o solo por analistas de seguridad (o hackers éticos)?
“Las tasas de fugas o falsos negativos tienden a disminuir con la combinación óptima de herramientas automáticas (dedicadas a encontrar vulnerabilidades 100% determinísticas, o con certeza del 100%) y equipos de hackers éticos especializados, ya que esto permite que se cubran una mayor variedad de vulnerabilidades y metodologías de búsqueda”, concluyó Vladimir Villa, de Fluid Attacks.
