Ложноотрицательное срабатывание
Что такое Ложноотрицательное срабатывание?
Ложноотрицательное срабатываниеВредоносная активность, которую средство обнаружения не пометило: угроза остаётся незамеченной, и атакующий продолжает действовать без оповещений.
Ложноотрицательный результат — тихий провал детектирования: атака происходит, но никакой алерт не срабатывает, и аналитики не получают шанса отреагировать. Причины — отсутствующие источники логов, обойдённые сигнатуры, слишком узко описанные правила, сломанные конвейеры, пробелы во временных окнах и приёмы атакующих, такие как living-off-the-land или зашифрованный C2. FN труднее измерить, чем FP, потому что они по определению невидимы. Их снижают с помощью учений purple team, симуляций атак (BAS), сопоставления с MITRE ATT&CK, юнит-тестов для детектов и постоянного анализа пробелов в телеметрии.
● Примеры
- 01
Атакующий применяет подписанные системные бинарники Windows (LOLBins) для команд, которые не ловит ни одна сигнатура.
- 02
Новое семейство ВПО остаётся незамеченным, так как зашифрованный TLS-трафик C2 не инспектируется на прокси.
● Частые вопросы
Что такое Ложноотрицательное срабатывание?
Вредоносная активность, которую средство обнаружения не пометило: угроза остаётся незамеченной, и атакующий продолжает действовать без оповещений. Относится к категории Защита и операции в кибербезопасности.
Что означает Ложноотрицательное срабатывание?
Вредоносная активность, которую средство обнаружения не пометило: угроза остаётся незамеченной, и атакующий продолжает действовать без оповещений.
Как работает Ложноотрицательное срабатывание?
Ложноотрицательный результат — тихий провал детектирования: атака происходит, но никакой алерт не срабатывает, и аналитики не получают шанса отреагировать. Причины — отсутствующие источники логов, обойдённые сигнатуры, слишком узко описанные правила, сломанные конвейеры, пробелы во временных окнах и приёмы атакующих, такие как living-off-the-land или зашифрованный C2. FN труднее измерить, чем FP, потому что они по определению невидимы. Их снижают с помощью учений purple team, симуляций атак (BAS), сопоставления с MITRE ATT&CK, юнит-тестов для детектов и постоянного анализа пробелов в телеметрии.
Как защититься от Ложноотрицательное срабатывание?
Защита от Ложноотрицательное срабатывание обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Ложноотрицательное срабатывание?
Распространённые альтернативные названия: FN, Пропущенное обнаружение.
● Связанные термины
- defense-ops№ 406
Ложноположительное срабатывание
Оповещение, ошибочно квалифицирующее нормальную активность как вредоносную, расходующее время аналитиков и подрывающее доверие к правилу.
- defense-ops№ 307
Detection engineering
Дисциплина проектирования, тестирования, развертывания и поддержки правил обнаружения как кода с измеримым покрытием техник противника.
- compliance№ 687
MITRE ATT&CK
Глобально доступная база знаний о тактиках и техниках противников, наблюдаемых в реальных атаках, поддерживаемая MITRE.
- defense-ops№ 1147
Охота за угрозами
Проактивный поиск по телеметрии на основе гипотез, направленный на обнаружение угроз, проскочивших мимо имеющихся детектов.
- defense-ops№ 1039
SIEM
Платформа, которая агрегирует, нормализует и коррелирует данные безопасности со всей организации для обнаружения угроз, расследований, соответствия требованиям и отчётности.