Falso negativo
O que é Falso negativo?
Falso negativoAtividade maliciosa que a detecao nao sinalizou, deixando a ameaca passar despercebida e permitindo ao atacante prosseguir sem alertar os defensores.
Um falso negativo e a falha silenciosa da detecao: um ataque real acontece mas nenhum alerta dispara, e os analistas nao tem hipotese de responder. Causas comuns incluem fontes de log em falta, assinaturas evitadas, detecoes demasiado estreitas, pipelines partidos, janelas temporais com lacunas e tecnicas como living-off-the-land ou C2 cifrado. Os falsos negativos sao mais dificeis de medir do que os positivos porque, por definicao, sao invisiveis. Reduzem-se com exercicios purple team, simulacao de ataque (BAS), mapeamento MITRE ATT&CK, testes unitarios de detecao e analise continua de lacunas de telemetria.
● Exemplos
- 01
Um atacante usa binarios assinados do Windows (LOLBins) para executar comandos que nenhuma assinatura deteta.
- 02
Uma nova familia de malware passa despercebida porque o trafego TLS de C2 nao e inspecionado no proxy.
● Perguntas frequentes
O que é Falso negativo?
Atividade maliciosa que a detecao nao sinalizou, deixando a ameaca passar despercebida e permitindo ao atacante prosseguir sem alertar os defensores. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Falso negativo?
Atividade maliciosa que a detecao nao sinalizou, deixando a ameaca passar despercebida e permitindo ao atacante prosseguir sem alertar os defensores.
Como funciona Falso negativo?
Um falso negativo e a falha silenciosa da detecao: um ataque real acontece mas nenhum alerta dispara, e os analistas nao tem hipotese de responder. Causas comuns incluem fontes de log em falta, assinaturas evitadas, detecoes demasiado estreitas, pipelines partidos, janelas temporais com lacunas e tecnicas como living-off-the-land ou C2 cifrado. Os falsos negativos sao mais dificeis de medir do que os positivos porque, por definicao, sao invisiveis. Reduzem-se com exercicios purple team, simulacao de ataque (BAS), mapeamento MITRE ATT&CK, testes unitarios de detecao e analise continua de lacunas de telemetria.
Como se defender contra Falso negativo?
As defesas contra Falso negativo costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Falso negativo?
Nomes alternativos comuns: FN, Detecao perdida.
● Termos relacionados
- defense-ops№ 406
Falso positivo
Alerta de seguranca que classifica atividade legitima como maliciosa, consumindo tempo dos analistas e degradando a confianca na detecao.
- defense-ops№ 307
Engenharia de detecao
Disciplina de desenhar, testar, implantar e manter detecoes de seguranca como codigo, com cobertura mensuravel das tecnicas adversarias.
- compliance№ 687
MITRE ATT&CK
Base de conhecimento global e aberta sobre táticas e técnicas de adversários observadas em ataques reais, mantida pela MITRE.
- defense-ops№ 1147
Caça a Ameaças
Busca proativa e orientada por hipóteses na telemetria para encontrar ameaças que escaparam das detecções existentes.
- defense-ops№ 1039
SIEM
Plataforma que agrega, normaliza e correlaciona telemetria de segurança em toda a organização para deteção, investigação, conformidade e reporting.
● Veja também
- № 041Fadiga de alertas