Maximizando la Eficacia: Vivir de los Falsos Positivos (LoFP) como Herramienta Estratégica en Seguridad Cibernética
La iniciativa conocida como Living off the False Positive (LoFP) representa una recopilación automatizada de falsos positivos originados en diversos conjuntos de reglas ampliamente utilizados.
Estos datos se organizan junto con las tácticas de ATT&CK, la fuente de las reglas y la fuente de datos correspondientes. Cada entrada proporciona detalles sobre las reglas relacionadas, así como su descripción y lógica de detección.
El propósito fundamental de este proyecto es facilitar el acceso a esta información tanto para los equipos de operaciones ofensivas («rojos») como para los equipos de defensa («azules»).
Por un lado, los equipos rojos pueden utilizar estos datos para integrarse de manera más efectiva, imitando o simular la actividad de falsos positivos, lo que puede sembrar dudas en los analistas y evitar la fatiga de alerta.
Los equipos azules pueden usar esta información para mejorar la detección, identificar debilidades y comparar reglas para entender mejor los falsos positivos.
La recopilación actual abarca reglas de detección de diversas fuentes, como reglas elásticas, sigma y splunk, con la posibilidad de expandirse en el futuro.
Se aconseja utilizar las entradas con precaución, enfocándose en términos clave en los falsos positivos, técnicas y fuentes de reglas o datos.
Es importante destacar que la inclusión de detalles clave sobre la fuente de las reglas contribuye a maximizar el valor de esta información.
Se invita a consultar el repositorio para obtener más detalles sobre la generación automática de estos datos.
Se prevé que este proyecto funcione como una iniciativa de mantenimiento libre, con actualizaciones diarias basadas en las últimas versiones disponibles en los respectivos repositorios.
Fuentes:
https://br0k3nlab.com/posts/2024/02/introducing-lofp/