Falso negativo
O que é Falso negativo?
Falso negativoAtividade maliciosa que a detecao nao sinalizou, deixando a ameaca passar despercebida e permitindo ao atacante prosseguir sem alertar os defensores.
Um falso negativo e a falha silenciosa da detecao: um ataque real acontece mas nenhum alerta dispara, e os analistas nao tem hipotese de responder. Causas comuns incluem fontes de log em falta, assinaturas evitadas, detecoes demasiado estreitas, pipelines partidos, janelas temporais com lacunas e tecnicas como living-off-the-land ou C2 cifrado. Os falsos negativos sao mais dificeis de medir do que os positivos porque, por definicao, sao invisiveis. Reduzem-se com exercicios purple team, simulacao de ataque (BAS), mapeamento MITRE ATT&CK, testes unitarios de detecao e analise continua de lacunas de telemetria.
● Exemplos
- 01
Um atacante usa binarios assinados do Windows (LOLBins) para executar comandos que nenhuma assinatura deteta.
- 02
Uma nova familia de malware passa despercebida porque o trafego TLS de C2 nao e inspecionado no proxy.
● Perguntas frequentes
O que é Falso negativo?
Atividade maliciosa que a detecao nao sinalizou, deixando a ameaca passar despercebida e permitindo ao atacante prosseguir sem alertar os defensores. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Falso negativo?
Atividade maliciosa que a detecao nao sinalizou, deixando a ameaca passar despercebida e permitindo ao atacante prosseguir sem alertar os defensores.
Como se defender contra Falso negativo?
As defesas contra Falso negativo costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Falso negativo?
Nomes alternativos comuns: FN, Detecao perdida.