Stefan Pater – Data Security Blog

DLP: Wat zijn False Positive en hoe voorkom je deze?

Binnen de data security en gegevensbescherming komen we vaak de term “false positives” tegen. Maar wat betekent dit nou precies, en hoe kun je ze minimaliseren? In deze blog duik ik in de basis van false positives en geef ik je enkele praktische tips om ze te voorkomen, vooral wanneer je werkt met gevoelige informatie en Data Loss Prevention (DLP) regels.

Wat is een False Positive?

Een false positive is wanneer een document of e-mail onterecht als data security risico wordt aangemerkt. Dit gebeurt wanneer een detectie afgaat door iets dat eigenlijk geen risico is. Er zijn twee soorten false positives:

  1. Classifier (SIT) false positive: Dit gebeurt wanneer een Sensitive Information Type ( SIT) iets detecteert dat lijkt op gevoelige informatie, maar dit in werkelijkheid niet is. Bijvoorbeeld, als je bedrijf een projectnummer heeft dat lijkt op een Amerikaans sofinummer (SSN), kan dit ten onrechte worden aangemerkt als een SSN.
  2. Functionele false positive: Dit gebeurt wanneer een SIT weliswaar de juiste informatie detecteert, maar deze eigenlijk niet relevant is. Stel dat je een DLP regel hebt om het delen van persoonlijke informatie (PII) te blokkeren, en iemand deelt zijn eigen BSN met zijn belastingadviseur—dit kan als een risico worden aangemerkt, terwijl het in deze context wel legitiem is.

De gevolgen van False Positives

False positives kunnen verschillende problemen veroorzaken:

  • Onderbreking van bedrijfsprocessen: Legitieme acties worden geblokkeerd, wat kan leiden tot frustratie en vertragingen.
  • IT-overbelasting: Als er te veel alerts zijn, kost het veel tijd om deze te analyseren en te beoordelen.
  • Belangrijke waarschuwingen missen: Als er te veel meldingen zijn, kunnen de echt belangrijke waarschuwingen over het hoofd worden gezien.
  • Toename van false negatives: Om false positives te verminderen, kan het verleidelijk zijn om de gevoeligheid van de regels te verlagen, wat kan resulteren in het missen van echte dreigingen.

“Een false positive kan mijn lunch verpesten, maar een false negative kan mijn carrière schaden.”

Hoe verminder je False Positives?

Er zijn verschillende technieken om false positives te verminderen. Hier zijn enkele basisstappen die je kunt nemen:

  1. Verhoog het detectie aantal:
    • Verhoog de minimale hoeveelheid detectie die nodig zijn om een regel te activeren. Dit kan bijvoorbeeld bij DLP- of automatische labelingsregels.
    • Combineer meerdere SIT’s in één regel om te zorgen dat de detectie accurater is.
  2. Gebruik meer specifieke patronen:
    • Clone en bewerk een standaard SIT om de detectiecriteria aan te passen.
    • Gebruik meerdere reguliere expressies in plaats van flexibele patronen om te zorgen voor nauwkeurigere detectie.
  3. Pas het confidence level aan:
    • Elk SIT heeft verschillende confidence levels:
      • Laag – Voorbeeld: Het nummer 123456789 wordt gemarkeerd, ook al is het geen echt BSN nummer is, omdat het gewoon 9 cijfers achter elkaar bevat.
      • Middel – Voorbeeld: Het nummer 1234-56-789 of 1234 56 789 wordt gemarkeerd, omdat het in een herkenbare BSN-opmaak staat, maar er wordt geen extra context gebruikt.
      • Hoog – Voorbeeld: Het nummer 123-45-6789 wordt alleen gemarkeerd als het wordt gebruikt in een context zoals “BSN: 123456789“, omdat het woord “BSN” of “Burgerservicenummer” erbij staat, wat het nummer als een BSN bevestigt.
    • Verhoog de vereiste hoeveelheid detectie of het minimale confidence level in je DLP regels. Dit helpt om ongewenste detectie te voorkomen.

Voorbeelden

  • Stel dat je een DLP regel hebt voor het detecteren van een BSN nummer. In plaats van dat de regel afgaat bij één detectie, kun je instellen dat er minimaal 10 BSN nummers met een hoog confidence level gevonden moeten worden. Op deze manier worden toevallige overeenkomsten (zoals negen cijfers in een rij) vermeden.
  • Maak verschillende DLP regels met verschillende acties op basis van het aantal detectie en het confidence level:
    • 1-2 matches: waarschuwing aan de gebruiker.
    • 3-5 matches: alert en justificatie vereist.
    • 6+ matches: blokkeren van de actie.

Geavanceerde technieken

Als je nog verder wilt gaan om false positives te beperken, kun je:

  • Gebruik maken van ‘word match’: Voeg bijvoorbeeld “\b” toe aan het begin en eind van je patroon in een reguliere expressie om alleen volledige woorden te matchen. Dit voorkomt dat een getal of tekst aanmerkt als iets gevoeligs.
  • Combineer verschillende classifier types: Door meerdere typen samen te voegen, kun je de detectie verfijnen.
  • Gebruik exacte data matching (EDM): Dit vergt wel iets wat meer werk, maar kan zorgen voor nauwkeurigere resultaten.

Samenvatting

False positives kunnen vervelend zijn en zelfs leiden tot echte gemiste dreigingen. Door je DLP regels zorgvuldig te configureren en aan te passen, kun je het aantal false positives verminderen en tegelijkertijd je beveiliging op peil houden. Experimenteer met het verhogen van de confidence level, gebruik van specifieke patronen, en het bewerken van standaard SIT’s om je DLP regels te verbeteren.