Was ist ein False Positive in der Cybersicherheit?
Cybersicherheit ist ein Technologiezweig, der Computersysteme, mobile Geräte, Server usw. vor böswilligen Angriffen schützt. Verschiedene böswillige Akteure führen diese böswilligen Angriffe durch. Der Zweck böswilliger Akteure besteht darin, auf vertrauliche Informationen der Benutzer zuzugreifen oder diese zu zerstören. Sicherheitssoftware schützt Benutzer vor Cyber-Bedrohungen. Antivirensoftware ist die am weitesten verbreitete Sicherheitssoftware. Der Begriff „falsch positiv“ wird am häufigsten im Bereich der Cybersicherheit verwendet. In diesem Artikel werden wir darüber sprechen, was ein False Positive in der Cybersicherheit ist.
Was ist ein False Positive in der Cybersicherheit?
Falsch negativ und Falsch positiv sind die am häufigsten verwendeten Begriffe im Bereich Cybersicherheit. Einige von Ihnen haben diese Begriffe vielleicht schon einmal gehört. In diesem Beitrag wird erläutert, was von Antiviren- und Antivirenprogrammen erkannte False Positives und False Negatives sind. Sicherheitssoftware und wie Sie solche Erkennungen auf die Whitelist setzen können.
Ein False Positive ist ein Fehlalarm, der von Antiviren- oder anderer Sicherheitssoftware generiert wird. Mit einfachen Worten: Wenn eine Antiviren- oder Sicherheitssoftware eine echte Datei oder ein echtes Programm als bösartig ansieht, spricht man von einer Falsch-Positiv-Flagge.
Wenn Sie Antivirensoftware auf Ihrem System installiert haben, ist möglicherweise ein Problem aufgetreten, bei dem Ihre Antivirensoftware eine echte Datei oder ein Originalprogramm blockiert hat. In diesem Fall funktioniert das blockierte Programm nicht richtig oder lässt sich nicht starten. False-Positive-Flags sind immer falsch.
Wie kommt es zu einem False Positive?
Antivirensoftware arbeitet mit unterschiedlichen Methoden. Zu diesen Methoden gehören die signaturbasierte Malware-Erkennung, die verhaltensbasierte Malware-Erkennung usw. Bei der signaturbasierten Malware-Erkennungstechnik verwendet Antivirensoftware die Signaturen, um zu erkennen, ob eine Datei oder ein Programm echt oder bösartig ist. Diese Signaturen werden auch Definitionen genannt. Antivirus erhält die neuesten Virendefinitionen, indem es das vom Anbieter veröffentlichte Update herunterlädt.
Bei der verhaltensbasierten Malware-Erkennungstechnik überwacht Antivirus das Verhalten eines Programms. Wenn das Verhalten des Programms als bösartig eingestuft wird, wird das Programm blockiert. Die verhaltensbasierte Malware-Erkennungstechnik kann False-Positive-Flags generieren. Wenn ein Antivirenprogramm beispielsweise das Verhalten eines verdächtigen Programms erkennt, blockiert es dieses Programm.
Was ist ein False Negative in der Cybersicherheit?
Eine Falsch-Negativ-Flagge ist das Gegenteil eines Falsch-Positivs. Das False Negative tritt auf, wenn eine Antivirensoftware oder Sicherheitssoftware eine schädliche Datei oder ein schädliches Programm nicht erkennt. Manche Malware nutzt fortschrittliche Techniken, um sich zu verstecken, sodass Antivirensoftware sie nicht erkennen und unter Quarantäne stellen kann. Diese nicht erkannten bösartigen Bedrohungen bleiben auf den Systemen des Benutzers aktiv und stellen ein Sicherheitsrisiko dar.
Wie kommt es zu einem False Negativ?
Ein falsch negativer Fehler tritt normalerweise auf, wenn Sie Ihr Antivirenprogramm nicht aktualisiert haben. Antivirenprogramme benötigen regelmäßige Updates, um neu veröffentlichte Bedrohungen zu erkennen. Wenn Sie ein Antivirenprogramm mit veralteten Virendefinitionen ausführen, ist Ihr System anfällig für neuere Bedrohungen oder Malware-Angriffe. Dies liegt daran, dass die neuen Virensignaturen Ihrem Antivirenprogramm unbekannt sind. False Negatives stellen ein ernstes Sicherheitsrisiko für Ihr System dar.
Wie erkennt man, ob es sich um einen Virus oder ein False Positive handelt?
Wenn Ihre Antivirensoftware eine Datei oder ein Programm blockiert hat und Sie diese Datei oder dieses Programm benötigen, können Sie mithilfe einiger Methoden die Authentizität dieser Datei oder dieses Programms ermitteln. Wir haben diese Methoden im Folgenden beschrieben.
- Verwenden von VirusTotal
- Suche online nach der Datei
- Anzeigen der Dateisignaturen
Verwenden von VirusTotal
Die erste Methode, mit der Sie die Authentizität einer Datei oder eines Programms identifizieren können, besteht darin, sie auf VirusTotal oder zu scannen ein weiterer ähnlicher Cloud-Dienst. VirusTotal ist ein Cloud-Dienst mit mehreren Antiviren-Engines. Wenn Sie eine Datei auf der VirusTotal-Website scannen, scannen diese Antiviren-Engines diese Datei und VirusTotal generiert dann den Bericht.
Wenn Ihre Antivirensoftware ein echtes Programm oder eine echte Datei als bösartig gekennzeichnet hat, können Sie sie auf VirusTotal scannen und den Bericht anzeigen. Dieser Bericht informiert Sie darüber, ob andere Antivirenprogramme diese Datei als schädlich kennzeichnen oder nicht.
Suche online nach der Datei
Die nächste Methode, mit der Sie feststellen können, ob eine Datei oder ein Programm bösartig ist oder nicht, ist die Suche im Internet. Sie können online nach verschiedenen Schlüsselwörtern suchen.
Wenn Ihr Antivirenprogramm beispielsweise eine DLL-Datei, beispielsweise rundll32.exe, markiert und unter Quarantäne gestellt hat, können Sie online nach deren Authentizität suchen, indem Sie verschiedene Schlüsselwörter verwenden, z. B.:
- Was ist der rundll32.exe-Prozess?
- Ist rundll32.exe sicher?
- Ist rundll32.exe bösartig?
Bei der Online-Suche werden Ihnen Links zu verschiedenen Websites und Foren angezeigt. Um authentische Informationen zu erhalten, sollten Sie vertrauenswürdige Websites wie TheWindowsClub besuchen. Dies hilft Ihnen auch dabei, die Authentizität der Datei oder des Programms zu ermitteln.
Anzeigen der Dateisignaturen
Eine weitere effektive Methode, mit der Sie feststellen können, ob eine Datei oder ein Programm bösartig oder falsch positiv ist, ist die Anzeige der Signaturen. Eine echte Datei wird von ihrem Anbieter digital signiert. Sie können diese Informationen in den Dateieigenschaften anzeigen.
Die folgenden Schritte helfen Ihnen dabei:
- Klicken Sie mit der rechten Maustaste auf die Datei.
- Wählen Sie Eigenschaften.
- Wählen Sie die Registerkarte Digitale Signaturen aus.
Die Registerkarte „Digitale Signaturen“ ist für ausführbare Dateien und Dienste verfügbar. Jetzt können Sie den Namen des Unterzeichners auf der Registerkarte „Digitale Signaturen“ anzeigen. Das obige Bild zeigt, dass die AI-Hostdatei Ai.exe von Microsoft digital signiert ist. Es handelt sich also um eine echte Datei.
Wenn Ihr Antivirenprogramm ein Programm als bösartig gekennzeichnet hat und Sie seine digitalen Signaturen anzeigen möchten, finden Sie die Registerkarte „Digitale Signaturen“ nicht, wenn Sie die Eigenschaften über die Desktop-Verknüpfung öffnen. In diesem Fall müssen Sie die Eigenschaften der ausführbaren Datei vom Installationsort aus öffnen. Klicken Sie dazu mit der rechten Maustaste auf die Desktop-Verknüpfung und wählen Sie Dateispeicherort öffnen.
Wie kann eine False-Positive-Aktion von Windows Defender behoben werden?
Wenn Microsoft Defender eine Falsch-Positiv-Flagge für eine Datei oder ein Programm generiert, können Sie Microsoft Defender über die Authentizität dieser Datei oder dieses Programms informieren, indem Sie es zu den Ausschlüssen von Microsoft Defender hinzufügen Liste. Danach wird Microsoft Defender Sie nicht mehr vor diesem Programm warnen oder das Programm nicht mehr blockieren.
Die Option, eine Datei oder ein Programm zur Ausnahme- oder Ausschlussliste hinzuzufügen, ist in allen Antivirenprogrammen verfügbar. Wenn Sie also ein Antivirenprogramm eines Drittanbieters verwenden, können Sie diese Datei zu seiner Ausnahmeliste hinzufügen. Aufgrund der unterschiedlichen Benutzeroberfläche ist der Vorgang zum Ausschließen einer Datei oder eines Programms bei verschiedenen Antivirenprogrammen von Drittanbietern unterschiedlich.
Wo melden Sie Microsoft ein falsch positives/negatives Ergebnis?
Die Meldung der Falsch-Positiv- und Falsch-Negativ-Ergebnisse an Microsoft hilft Microsoft dabei, die Erkennungen zu korrigieren. Dadurch wird die Erzeugung von Falsch-Positiv-Flags verringert und die Wahrscheinlichkeit verringert, dass Malware unentdeckt bleibt.
Um ein False Positive oder ein False Negative (oder Malware) an Microsoft zu melden, müssen Sie das Sample Submission Portal besuchen und die Datei einreichen Dort. Wählen Sie nun aus den folgenden Optionen die am besten geeignete aus:
- Heimkunde
- Unternehmenskunde
- Softwareentwickler
Klicken Sie anschließend auf Weiter und melden Sie sich mit Ihren korrekten Kontoanmeldeinformationen an. Geben Sie nun die erforderlichen Details ein, hängen Sie die Datei an und klicken Sie auf Weiter.
Ich hoffe das hilft.
Was verursacht ein falsch negatives Ergebnis?
Normalerweise wird ein falsch negatives Ergebnis durch veraltete Virendefinitionen der Antivirensoftware verursacht. Antiviren-Anbieter veröffentlichen Virendefinitionen über regelmäßige Updates. Sie sollten diese Updates regelmäßig herunterladen und installieren.
Was ist True Positive und False Positive in der Cybersicherheit?
In der Cybersicherheit bezeichnet True Positive die korrekte Erkennung einer Bedrohung durch ein Antivirenprogramm oder eine Sicherheitssoftware. Andererseits ist ein False Negative die falsche Erkennung einer Bedrohung, d. h. Antiviren- oder Sicherheitssoftware hat die Originaldatei als bösartig erkannt.
Schreibe einen Kommentar