Ложноотрицательное срабатывание
Что такое Ложноотрицательное срабатывание?
Ложноотрицательное срабатываниеВредоносная активность, которую средство обнаружения не пометило: угроза остаётся незамеченной, и атакующий продолжает действовать без оповещений.
Ложноотрицательный результат — тихий провал детектирования: атака происходит, но никакой алерт не срабатывает, и аналитики не получают шанса отреагировать. Причины — отсутствующие источники логов, обойдённые сигнатуры, слишком узко описанные правила, сломанные конвейеры, пробелы во временных окнах и приёмы атакующих, такие как living-off-the-land или зашифрованный C2. FN труднее измерить, чем FP, потому что они по определению невидимы. Их снижают с помощью учений purple team, симуляций атак (BAS), сопоставления с MITRE ATT&CK, юнит-тестов для детектов и постоянного анализа пробелов в телеметрии.
● Примеры
- 01
Атакующий применяет подписанные системные бинарники Windows (LOLBins) для команд, которые не ловит ни одна сигнатура.
- 02
Новое семейство ВПО остаётся незамеченным, так как зашифрованный TLS-трафик C2 не инспектируется на прокси.
● Частые вопросы
Что такое Ложноотрицательное срабатывание?
Вредоносная активность, которую средство обнаружения не пометило: угроза остаётся незамеченной, и атакующий продолжает действовать без оповещений. Относится к категории Защита и операции в кибербезопасности.
Что означает Ложноотрицательное срабатывание?
Вредоносная активность, которую средство обнаружения не пометило: угроза остаётся незамеченной, и атакующий продолжает действовать без оповещений.
Как защититься от Ложноотрицательное срабатывание?
Защита от Ложноотрицательное срабатывание обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Ложноотрицательное срабатывание?
Распространённые альтернативные названия: FN, Пропущенное обнаружение.