Para garantir a segurança de uma tecnologia, a solução acaba sendo recorrer a mais recursos tecnológicos e em maior escala. Correto? Sim, certo. Mas a intervenção humana continua sendo indispensável. Isso é demonstrado pela experiência de uma empresa brasileira de segurança de aplicações (AppSec), a Conviso, que, na prestação de seu serviço, detecta o chamado “falso positivo”.
O termo é comumente utilizado na área da saúde. Assim como um exame pode, equivocadamente, indicar a presença de alguma doença, uma solução de segurança cibernética pode identificar um padrão vulnerável ou uma ameaça que, por vezes, é “falsa”. Isso ocorre pois, atualmente, a acurácia dessas ferramentas é limitada. É nesse momento que entra em cena a expertise de um analista profissional.
Essa participação humana se mostra como uma das formas de confirmar a veracidade ou não de uma ameaça. Com isso, impede que a organização tome medidas precipitadas para combater uma vulnerabilidade que, no fim das contas, não existia ou não apresenta o risco inicialmente reportado. Na prática, significa evitar desperdício de tempo, operações e dinheiro com um problema que, na realidade, não existe.
“A empresa que utiliza uma ou mais soluções de segurança que identificam vulnerabilidades frequentemente não sabe como agir diante delas, pois não sabem qual representa maior risco, impacto e que podem de fato serem exploradas. É nesse momento que os analistas entram em ação: eles verificam os resultados, realizam testes adicionais e intensificam as análises para determinar até que ponto aquela vulnerabilidade pode ser explorada, confirmando se o resultado é genuíno ou um falso positivo”, explica o gerente do time de segurança da Conviso, Rangel da Rosa Júnior.
O leque de falsos positivos é inevitável, observa Rangel Júnior. Os mais triviais, conforme suas palavras, incluem resultados equivocados quanto à segurança de credenciais, por exemplo. Por vezes, uma aplicação de segurança identifica uma credencial (usuário e senha) como vulnerabilidade. No entanto, quando o analista investiga a fundo, constata que se trata de uma credencial de teste, ou seja, que não será utilizada em outras situações — o que, na prática, não representa risco.
Outro caso recorrente se dá em torno de averiguações de criptografia. Há ocasiões em que a aplicação de segurança acusa uma certa criptografia como fraca. Contudo, não se avaliou o conjunto. “Se há outras criptografias agregando aquela, então, no contexto macro e na somatória das funcionalidades criptográficas, pode haver garantia de segurança, visto que, dependendo do contexto pode não haver vulnerabilidade”, descreve o especialista da Conviso.
Portanto, a tecnologia pode identificar problemas, mas a intervenção humana ajuda a assegurar a eficácia das soluções. “As ferramentas automatizadas são essenciais, mas sem o olhar crítico dos profissionais, o risco de tomar decisões equivocadas ou realizar trabalhos desnecessários aumenta significativamente. Isso sem contar os custos que podem ser evitados ao mitigar problemas inexistentes. É a expertise humana que transforma dados em decisões inteligentes, protegendo as organizações e garantindo que os recursos sejam utilizados de maneira eficiente”, conclui Rangel Júnior.
