حقیقت در مورد False Positive ها در امنیت

کدام‌یک بدتر است، false positiveهای زیاد یا false negativeهای زیاد؟

برای درک دلیل، بیایید آن را به هر دو حالت افراطی ببریم: تصور کنید که یک ابزار تشخیص تنها زمانی به کاربران خود هشدار می‌دهد که احتمال اینکه یک قطعه کد معین حاوی یک آسیب‌پذیری باشد از ۹۹٫۹۹۹% بالاتر باشد. با چنین آستانه بالایی، تقریباً می‌توانید مطمئن باشید که یک هشدار واقعاً یک true positive است. اما چه تعداد از مشکلات امنیتی به دلیل انتخابی بودن اسکنر موردتوجه قرار نمی‌گیرد؟ زیاد.

حال، برعکس، چه اتفاقی می‌افتد اگر ابزار به‌گونه‌ای تنظیم شود که هرگز آسیب‌پذیری را از دست ندهد (به حداکثر رساندن فراخوانی)؟ درست حدس زدید: به‌زودی با صدها یا حتی هزاران هشدار نادرست مواجه خواهید شد و خطر بزرگ‌تری وجود دارد.

همان‌طور که Aesop در افسانه The Boy Who Cried Wolf به ما هشدار داد[۶]، هرکسی که فقط ادعاهای نادرست را تکرار کند، درنهایت به او گوش داده نمی‌شود. در دنیای مدرن ما، ناباوری به‌عنوان یک کلیک ساده برای غیرفعال کردن اعلان‌های امنیتی و بازگرداندن صلح و آرامش ظاهر می‌شود، یا اگر غیر فعال‌سازی مجاز نباشد، آن‌ها را نادیده می‌گیرد. اما عواقب آن می‌تواند حداقل به همان اندازه دراماتیک باشد که در افسانه وجود دارد.