Что такое ложное срабатывание в кибербезопасности?

Информационная безопасность — это отрасль технологий, которая защищает компьютерные системы, мобильные устройства, серверы и т. д. от вредоносных атак. Эти вредоносные атаки осуществляют различные злоумышленники. Цель злоумышленников — получить доступ к конфиденциальной информации пользователей или уничтожить ее. Программное обеспечение безопасности защищает пользователей от киберугроз. Антивирусное программное обеспечение является наиболее широко используемым программным обеспечением безопасности. Термин «ложное срабатывание» чаще всего используется в сфере кибербезопасности. В этой статье мы поговорим о что такое ложное срабатывание в кибербезопасности .

Ложное срабатывание в кибербезопасности

Что такое ложное срабатывание в кибербезопасности?

Ложноотрицательный результат и Ложно положительный — наиболее часто используемые термины в области кибербезопасности. Некоторые из вас, возможно, слышали эти термины. В этом посте обсуждается, что такое ложные срабатывания и ложные отрицательные результаты, обнаруженные антивирусным программным обеспечением и программами обеспечения безопасности, и как их можно устранить. внести такие обнаружения в белый список . Эзойский период

открытый файл powershell

Ложное срабатывание — это ложное срабатывание антивируса или другого защитного программного обеспечения. Проще говоря, когда антивирус или программное обеспечение безопасности считает подлинный файл или программу вредоносным, это называется флагом ложного срабатывания. Эзойский период

Если вы установили антивирусное программное обеспечение в своей системе, возможно, у вас возникла проблема, когда ваше антивирусное программное обеспечение блокировало подлинный файл или программу. В этом случае заблокированная программа не работает должным образом или отказывается запускаться. Флаги ложного срабатывания всегда неверны.

Как возникает ложное срабатывание?

Антивирусное программное обеспечение работает разными методами. К этим методам относятся обнаружение вредоносных программ на основе сигнатур, обнаружение вредоносных программ на основе поведения и т. д. В методе обнаружения вредоносных программ на основе сигнатур антивирусное программное обеспечение использует сигнатуры для определения того, является ли файл или программа подлинным или вредоносным. Эти подписи также называются определениями. Антивирус получает последние определения вирусов, загружая обновление, выпущенное поставщиком.

В методе обнаружения вредоносных программ на основе поведения антивирус отслеживает поведение программы. Если он считает поведение программы вредоносным, он блокирует эту программу. Методика обнаружения вредоносных программ на основе поведения может генерировать ложные срабатывания. Например, если антивирус обнаруживает поведение подозрительной программы, он блокирует эту программу.

Что такое ложноотрицательный результат в кибербезопасности?

Флаг ложного негатива является инверсией ложного срабатывания. Ложноотрицательный результат возникает, когда антивирусное программное обеспечение или программное обеспечение безопасности не может обнаружить вредоносный файл или программу. Некоторые вредоносные программы используют передовые методы, чтобы скрыть себя, поэтому антивирусное программное обеспечение не может их обнаружить и изолировать. Эти необнаруженные вредоносные угрозы остаются активными в системах пользователя и представляют собой угрозу безопасности.

Как возникает ложноотрицательный результат?

Ложноотрицательный результат обычно возникает, если вы не обновили антивирусную программу. Антивирусным программам необходимы регулярные обновления для обнаружения новых угроз. Если вы используете антивирус с устаревшими определениями вирусов, ваша система будет подвержена новым угрозам или атакам вредоносных программ. Это связано с тем, что новые сигнатуры вирусов неизвестны вашему антивирусу. Ложноотрицательные результаты представляют серьезную угрозу безопасности вашей системы.

Как определить, вирус это или ложное срабатывание?

Если ваше антивирусное программное обеспечение заблокировало файл или программу, и этот файл или программа вам нужны, вы можете определить подлинность этого файла или программы, используя некоторые методы. Эти методы мы описали ниже.

Использование VirusTotal
Ищем файл в Интернете
Просмотр подписей файлов

Использование VirusTotal

Первый метод, с помощью которого можно определить подлинность файла или программы, — это его сканирование на Всего вирусов или еще один аналогичный облачный сервис . VirusTotal — облачный сервис, имеющий несколько антивирусных механизмов. Когда вы сканируете файл на веб-сайте VirusTotal, эти антивирусные механизмы сканируют этот файл, а затем VirusTotal генерирует отчет.

Всего вирусов

Если ваше антивирусное программное обеспечение пометило подлинную программу или файл как вредоносную, вы можете отсканировать ее на VirusTotal и просмотреть отчет. Этот отчет позволит вам узнать, отмечают ли другие антивирусы этот файл как вредоносный или нет. Эзойский период

Читать : Как проверить, является ли файл вредоносным или нет в Windows

Ищем файл в Интернете

Следующий метод, который вы можете использовать, чтобы определить, является ли файл или программа вредоносным, — это поиск в Интернете. Вы можете искать в Интернете, используя разные ключевые слова.

rundll32.exe

Например, если ваша антивирусная программа пометила и поместила в карантин файл DLL, скажем, rundll32.exe, вы можете проверить его подлинность в Интернете, используя различные ключевые слова, например:

Что такое процесс rundll32.exe
Rundll32.exe безопасен?
Является ли rundll32.exe вредоносным?

При поиске в Интернете вы увидите ссылки на различные веб-сайты и форумы. Чтобы получить достоверную информацию, рассмотрите посещение проверенных веб-сайтов например TheWindowsClub. Вы также можете прочитать отзывы, оставленные разными пользователями на разных форумах. Это также поможет вам узнать подлинность файла или программы.

Просмотр подписей файлов

Еще один эффективный метод, который можно использовать, чтобы узнать, является ли файл или программа вредоносным или ложным срабатыванием, — это просмотр его сигнатур. Подлинный файл имеет цифровую подпись его поставщика. Эту информацию вы можете просмотреть в свойствах файла.

обновление Windows 10 с помощью внешнего диска

Цифровая подпись AI exe

Следующие шаги помогут вам в этом:

Щелкните файл правой кнопкой мыши.
Выбирать Характеристики .
Выберите Цифровые подписи вкладка.

Вкладка «Цифровые подписи» доступна для исполняемых файлов и сервисов. Теперь вы можете просмотреть имя подписывающего лица на вкладке «Цифровые подписи». На изображении выше показано, что Файл хоста AI Ai.exe имеет цифровую подпись Microsoft. Следовательно, это подлинный файл.

Если ваш антивирус пометил программу как вредоносную и вы хотите просмотреть ее цифровые подписи, вы не найдете вкладку «Цифровые подписи», открыв ее свойства с помощью ярлыка на рабочем столе. В этом случае вам придется открыть свойства его исполняемого файла из места установки. Для этого щелкните правой кнопкой мыши ярлык на рабочем столе и выберите Местонахождение открытого файла .

Читать : Проверьте, работает антивирус или нет .

Как исправить ложное срабатывание Защитника Windows?

Безопасность Windows Добавить исключение папки

Если Microsoft Defender создает флаг ложного срабатывания для файла или программы, вы можете сообщить Microsoft Defender о подлинности этого файла или программы, добавив его в Список исключений Microsoft Defender . После этого Microsoft Defender перестанет предупреждать вас об этой программе или перестанет блокировать ее.

Исключения диспетчера Bitdefender

Возможность добавить файл или программу в список исключений или исключений доступна во всех антивирусных программах. Следовательно, если вы используете сторонний антивирус, вы можете добавить этот файл в список исключений. Из-за разницы в пользовательском интерфейсе процесс исключить файл или программу в разных сторонних антивирусных программах отличается.

Читать : Как скажите, есть ли на вашем компьютере вирус?

Windows 10 обучающие игры

Куда вы сообщаете о ложноположительном или отрицательном результате в Microsoft?

Сообщение о ложноположительных и ложноотрицательных результатах в Microsoft поможет Microsoft исправить обнаруженные ошибки. Это уменьшит количество ложных срабатываний и снизит вероятность того, что вредоносное ПО останется незамеченным.

Образец портала отправки Microsoft

К сообщить о ложноположительном или ложноотрицательном результате (или вредоносном ПО) в Microsoft, вам необходимо посетить портал отправки образцов и отправить файл туда. Теперь выберите наиболее подходящий вариант из следующих:

Домашний клиент
Корпоративный клиент
Разработчик программного обеспечения

После этого нажмите Продолжать и войдите в систему, используя правильные учетные данные. Теперь заполните необходимые данные, прикрепите файл и нажмите Продолжать .

Надеюсь, это поможет.

Что является причиной ложноотрицательного результата?

Эзойский период Обычно ложноотрицательный результат возникает из-за устаревших определений вирусов в антивирусном программном обеспечении. Поставщики антивирусов выпускают определения вирусов посредством регулярных обновлений. Вам следует регулярно загружать и устанавливать эти обновления.

Что такое истинное и ложное срабатывание в кибербезопасности?

В кибербезопасности под True Positive понимается правильное обнаружение угрозы антивирусной программой или программным обеспечением безопасности. С другой стороны, ложноотрицательный результат — это неправильное обнаружение угрозы, т. е. антивирусное программное обеспечение или программное обеспечение безопасности определило подлинный файл как вредоносный.

Читать далее : EDR против антивируса: что лучше и почему ?