Faux negatif
Qu'est-ce que Faux negatif ?
Faux negatifActivite malveillante que la detection n'a pas signalee, laissant la menace passer inapercue et permettant a l'attaquant de poursuivre sans alerter la defense.
Un faux negatif est un echec silencieux de la detection : une attaque reelle a lieu mais aucune alerte ne se declenche, et les analystes n'ont aucune chance de reagir. Les causes incluent des sources de logs manquantes, des signatures evitees, des detections trop etroites, des pipelines casses, des fenetres temporelles trop courtes et des techniques comme le living-off-the-land ou le C2 chiffre. Les faux negatifs sont plus difficiles a mesurer que les faux positifs car ils sont par definition invisibles. On les reduit par des exercices purple team, des simulations BAS, la cartographie MITRE ATT&CK, des tests unitaires de detection et une analyse continue des lacunes de telemetrie.
● Exemples
- 01
Un attaquant utilise des binaires Windows signes (LOLBins) pour executer des commandes qu'aucune signature ne detecte.
- 02
Une nouvelle famille de malware passe inapercue car le trafic C2 chiffre n'est pas inspecte par le proxy.
● Questions fréquentes
Qu'est-ce que Faux negatif ?
Activite malveillante que la detection n'a pas signalee, laissant la menace passer inapercue et permettant a l'attaquant de poursuivre sans alerter la defense. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Faux negatif ?
Activite malveillante que la detection n'a pas signalee, laissant la menace passer inapercue et permettant a l'attaquant de poursuivre sans alerter la defense.
Comment fonctionne Faux negatif ?
Un faux negatif est un echec silencieux de la detection : une attaque reelle a lieu mais aucune alerte ne se declenche, et les analystes n'ont aucune chance de reagir. Les causes incluent des sources de logs manquantes, des signatures evitees, des detections trop etroites, des pipelines casses, des fenetres temporelles trop courtes et des techniques comme le living-off-the-land ou le C2 chiffre. Les faux negatifs sont plus difficiles a mesurer que les faux positifs car ils sont par definition invisibles. On les reduit par des exercices purple team, des simulations BAS, la cartographie MITRE ATT&CK, des tests unitaires de detection et une analyse continue des lacunes de telemetrie.
Comment se défendre contre Faux negatif ?
Les défenses contre Faux negatif combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Faux negatif ?
Noms alternatifs courants : FN, Detection manquee.
● Termes liés
- defense-ops№ 406
Faux positif
Alerte de securite qui classe une activite benigne comme malveillante, ce qui coute du temps aux analystes et erode la confiance dans la detection.
- defense-ops№ 307
Ingenierie de detection
Discipline consistant a concevoir, tester, deployer et maintenir des detections de securite comme du code, avec une couverture mesurable des techniques adverses.
- compliance№ 687
MITRE ATT&CK
Base de connaissances mondiale et ouverte sur les tactiques et techniques d'attaque observées dans la réalité, maintenue par MITRE.
- defense-ops№ 1147
Threat Hunting
Recherche proactive et fondée sur des hypothèses dans la télémétrie pour identifier des menaces ayant échappé aux détections existantes.
- defense-ops№ 1039
SIEM
Plateforme qui agrège, normalise et corrèle la télémétrie de sécurité de toute l'entreprise pour la détection, l'investigation, la conformité et le reporting.
● Voir aussi
- № 041Fatigue d'alertes