Väärät positiiviset
TL;DR
Tietoturvassa väärä positiivinen tapahtuu, kun työkalu raportoi ongelman, jota ei todellisuudessa ole olemassa.
Mikä on väärä positiivinen?
Väärä positiivinen on tilanne, jossa tietoturvatyökalu raportoi ongelman, jota ei todellisuudessa ole olemassa.
Yksinkertainen esimerkki:
- Todellinen ongelma: Palohälytin soi, koska on tulipalo.
- Väärä positiivinen: Palohälytin soi, koska ruoanlaitosta syntyy höyryä.
Hälytys on todellinen, mutta todellista vaaraa ei ole.
Miksi väärät positiiviset ovat ongelma
Väärät positiiviset tekevät muutakin kuin tuhlaavat aikaa. Ne voivat johtaa todellisiin ongelmiin ajan kuluessa.
Ne johtavat:
- Ajan tuhlaamiseen ongelmien korjaamiseen, joita ei ole olemassa
- Turhautumiseen tietoturva- ja kehitystiimien välillä
- Suurempaan riskiin, koska todelliset ongelmat jäävät huomiotta
Miksi väärät positiiviset tapahtuvat
Tietoturvatyökalut on suunniteltu olemaan varovaisia. On turvallisempaa antaa liikaa varoituksia kuin jättää todellinen hyökkäys huomaamatta.
Yleisiä syitä:
-
Ei kontekstia
Työkalu näkee kovakoodatun salasanan, mutta se on vain testitiedostossa.
-
Monimutkainen koodi
Työkalu ajattelee, että käyttäjän syöte on turvaton, mutta koodi puhdistaa sen jo.
-
Vanhat säännöt
Uusi, turvallinen ohjelmisto näyttää vanhalta uhkalta.
-
Liian laajat säännöt
Esimerkiksi, jokaisen eval()-käytön liputtaminen, vaikka se olisi turvallista.
Väärien positiivisten todellinen kustannus
Todellinen ongelma syntyy, kun liian monta hälytystä kasaantuu.
- Tiimit lakkaavat kiinnittämästä huomiota hälytyksiin.
- Rakennukset ja julkaisut hidastuvat.
- Taitavat insinöörit tuhlaavat aikaa väärien ongelmien tarkasteluun.
Väärät positiiviset vs väärät negatiiviset
| Termi | Mitä se tarkoittaa |
|---|---|
| Oikea positiivinen | Todellinen ongelma löydetään oikein |
| Väärä positiivinen | Ongelma raportoidaan, mutta se ei ole todellinen |
| Oikea negatiivinen | Turvallinen koodi jätetään oikein huomiotta |
| Väärä negatiivinen | Todellinen ongelma jää huomaamatta (tämä on vaarallista) |
Liittyvät termit
- Hälytysväsymys
- SAST
- Triage
- EPSS
UKK
Miten tiedän, onko hälytys väärä positiivinen?
Sinun tulisi tarkistaa koodi selvittääksesi, voisiko todellinen käyttäjä laukaista ongelman.
Voivatko työkalut olla ilman vääriä positiivisia?
Eivät. Tavoitteena on vähentää niitä, ei poistaa niitä kokonaan.
Pitäisikö minun lopettaa työkalun käyttö, jos siinä on paljon vääriä positiivisia?
Ei heti. Useimmat työkalut tarvitsevat hienosäätöä, jotta ne sopivat koodipohjaasi.