Cos’è un falso positivo nella sicurezza informatica?

Cos’è un falso positivo nella sicurezza informatica?

La sicurezza informatica è un ramo della tecnologia che protegge i sistemi informatici, i dispositivi mobili, i server, ecc. da attacchi dannosi. Vari attori malintenzionati eseguono questi attacchi dannosi. Lo scopo degli attori malintenzionati è accedere o distruggere le informazioni sensibili degli utenti. Il software di sicurezza protegge gli utenti dalle minacce informatiche. Il software antivirus è il software di sicurezza più utilizzato. Il termine falso positivo è più comunemente usato nel campo della sicurezza informatica. In questo articolo parleremo di cos’è un falso positivo nella sicurezza informatica.

Falsi positivi nella sicurezza informatica

Cos’è un falso positivo nella sicurezza informatica?

falso negativo e falso positivo sono i termini più comunemente utilizzati nel campo della sicurezza informatica. Alcuni di voi potrebbero aver sentito questi termini. Questo post discute cosa sono i falsi positivi e i falsi negativi rilevati dagli antivirus e dai software antivirus. software di sicurezza e come autorizzare tali rilevamenti.

Un falso positivo è un falso allarme generato da antivirus o altri software di sicurezza. In parole semplici, quando un antivirus o un software di sicurezza considera dannoso un file o un programma autentico, viene chiamato flag di falso positivo.

Se hai installato un software antivirus sul tuo sistema, potresti aver riscontrato un problema in cui il software antivirus ha bloccato un file o un programma autentico. In questo caso, il programma bloccato non funziona correttamente o si rifiuta di avviarsi. I flag di falso positivo sono sempre errati.

Come si verifica un falso positivo?

Il software antivirus funziona con metodi diversi. Questi metodi includono il rilevamento di malware basato sulla firma, il rilevamento di malware basato sul comportamento, ecc. Nella tecnica di rilevamento di malware basato sulla firma, il software antivirus utilizza le firme per identificare se un file o un programma è autentico o dannoso. Queste firme sono anche chiamate definizioni. L’antivirus riceve le definizioni dei virus più recenti scaricando l’aggiornamento rilasciato dal fornitore.

Nella tecnica di rilevamento del malware basata sul comportamento, l’antivirus monitora il comportamento di un programma. Se rileva che il comportamento del programma è dannoso, lo blocca. La tecnica di rilevamento del malware basata sul comportamento può generare flag di falsi positivi. Ad esempio, se un antivirus rileva il comportamento di un programma sospetto, lo blocca.

Cos’è un falso negativo nella sicurezza informatica?

Un flag di falso negativo è l’inverso di un falso positivo. Il falso negativo si verifica quando un software antivirus o un software di sicurezza non riesce a rilevare un file o un programma dannoso. Alcuni malware utilizzano tecniche avanzate per nascondersi in modo che il software antivirus non possa rilevarli e metterli in quarantena. Queste minacce dannose non rilevate rimangono attive sui sistemi dell’utente e costituiscono una minaccia per la sicurezza.

Come si verifica un falso negativo?

Il falso negativo di solito si verifica quando non hai aggiornato il tuo programma antivirus. I programmi antivirus necessitano di aggiornamenti regolari per rilevare le minacce appena rilasciate. Se esegui un antivirus con definizioni dei virus obsolete, il tuo sistema sarà soggetto a minacce o attacchi malware più recenti. Questo perché le nuove firme dei virus sono sconosciute al tuo antivirus. I falsi negativi rappresentano un serio rischio per la sicurezza del tuo sistema.

Come capire se si tratta di un virus o di un falso positivo?

Se il tuo software antivirus ha bloccato un file o un programma e hai bisogno di quel file o programma, puoi identificare l’autenticità di quel file o programma utilizzando alcuni metodi. Abbiamo descritto questi metodi di seguito.

  • Utilizzando VirusTotal
  • Ricerca del file online
  • Visualizzazione delle firme dei file

Utilizzando VirusTotal

Il primo metodo con cui puoi identificare l’autenticità di un file o di un programma è scansionarlo su VirusTotal o un altro servizio cloud simile. VirusTotal è un servizio cloud che dispone di diversi motori antivirus. Quando esegui la scansione di un file sul sito Web di VirusTotal, questi motori antivirus eseguono la scansione di quel file e quindi VirusTotal genera il rapporto.

Virus Total

Se il tuo software antivirus ha contrassegnato un programma o un file autentico come dannoso, puoi scansionarlo su VirusTotal e visualizzare il rapporto. Questo rapporto ti farà sapere se altri antivirus contrassegnano quel file come dannoso o meno.

Ricerca del file online

Il prossimo metodo che puoi utilizzare per identificare se un file o un programma è dannoso o meno è effettuare una ricerca online. Puoi effettuare ricerche online utilizzando diverse parole chiave.

rundll32.exe

Ad esempio, se il tuo programma antivirus ha contrassegnato e messo in quarantena un file DLL, ad esempio rundll32.exe, puoi cercarne l’autenticità online utilizzando diverse parole chiave, come:

  • Cos’è il processo rundll32.exe
  • rundll32.exe è sicuro?
  • rundll32.exe è dannoso?

Durante la ricerca online, vedrai i collegamenti a vari siti Web e forum. Per ottenere informazioni autentiche, valuta la possibilità di visitare siti Web affidabili come TheWindowsClub. Questo ti aiuterà anche a conoscere l’autenticità del file o del programma.

Visualizzazione delle firme dei file

Un altro metodo efficace che puoi utilizzare per sapere se un file o un programma è dannoso o un falso positivo è visualizzarne le firme. Un file autentico è firmato digitalmente dal suo fornitore. È possibile visualizzare queste informazioni nelle proprietà del file.

Firma digitale AI exe

I seguenti passaggi ti aiuteranno in questo:

  1. Fare clic con il tasto destro sul file.
  2. Seleziona Proprietà.
  3. Seleziona la scheda Firme digitali.

La scheda Firme digitali è disponibile per file eseguibili e servizi. Ora puoi visualizzare il nome del firmatario nella scheda Firme digitali. L’immagine sopra mostra che il file host AI Ai.exe è firmato digitalmente da Microsoft. Quindi, è un file autentico.

Se il tuo antivirus ha contrassegnato un programma come dannoso e desideri visualizzarne le firme digitali, non troverai la scheda Firme digitali aprendo le sue proprietà dal collegamento sul desktop. In questo caso, devi aprire le proprietà del suo file eseguibile dal percorso di installazione. Per farlo, fai clic con il pulsante destro del mouse sul collegamento sul desktop e seleziona Apri percorso file.

Come rimediare ad un’azione Falso Positivo di Windows Defender?

Sicurezza di Windows Aggiungi l'esclusione di cartelle

Se Microsoft Defender genera un flag di falso positivo per un file o un programma, puoi comunicare a Microsoft Defender l’autenticità di quel file o programma aggiungendolo alle Esclusioni di Microsoft Defender elenco. Successivamente, Microsoft Defender smetterà di avvisarti di quel programma o smetterà di bloccarlo.

Eccezioni di Bitdefender Manager

L’opzione per aggiungere un file o un programma all’elenco delle eccezioni o delle esclusioni è disponibile in tutti i programmi antivirus. Pertanto, se utilizzi un antivirus di terze parti, puoi aggiungere quel file al suo elenco di eccezioni. A causa della differenza nell’interfaccia utente, il processo per escludere un file o un programma è diverso nei diversi programmi antivirus di terze parti.

Dove segnalare un falso positivo/negativo a Microsoft?

La segnalazione di falsi positivi e falsi negativi a Microsoft aiuterà Microsoft a correggere i rilevamenti. Ciò ridurrà la generazione di flag falsi positivi e diminuirà le possibilità che il malware non venga rilevato.

Portale per l'invio di esempi Microsoft

Per segnalare un falso positivo o un falso negativo (o malware) a Microsoft, è necessario visitare il portale per l’invio dei campioni e inviare il file Là. Ora seleziona l’opzione più appropriata tra le seguenti:

  • Cliente domestico
  • Cliente aziendale
  • Sviluppatore di software

Successivamente, fai clic su Continua e accedi utilizzando le credenziali dell’account corrette. Ora inserisci i dettagli richiesti, allega il file e fai clic su Continua.

Spero che aiuti.

Cosa causa un risultato falso negativo?

Di solito, un risultato falso negativo è causato dalle definizioni dei virus obsolete del software antivirus. I fornitori di antivirus rilasciano le definizioni dei virus tramite aggiornamenti regolari. Dovresti scaricare e installare questi aggiornamenti regolarmente.

Cos’è il vero positivo e il falso positivo nella sicurezza informatica?

In Cyber ​​Security, True Positive si riferisce al corretto rilevamento di una minaccia da parte di un programma antivirus o di un software di sicurezza. D’altro canto, un falso negativo è il rilevamento errato di una minaccia, ovvero un antivirus o un software di sicurezza ha rilevato il file autentico come dannoso.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *