O que é um falso positivo em segurança cibernética?
Cibersegurança é um ramo da tecnologia que protege sistemas de computador, dispositivos móveis, servidores, etc., contra ataques maliciosos. Vários atores maliciosos realizam esses ataques maliciosos. O objetivo dos atores mal-intencionados é acessar ou destruir informações confidenciais dos usuários. O software de segurança protege os usuários contra ameaças cibernéticas. O software antivírus é o software de segurança mais amplamente utilizado. O termo falso positivo é mais comumente usado na área de segurança cibernética. Neste artigo, falaremos sobre o que é um falso positivo em segurança cibernética.
O que é um falso positivo em segurança cibernética?
Falso Negativo e Falso Positivo são os termos mais comumente usados na área de Segurança Cibernética. Alguns de vocês devem ter ouvido esses termos. Esta postagem discute o que são falsos positivos e falsos negativos detectados por antivírus e antivírus. software de segurança e como você pode colocar essas detecções na lista de permissões.
Um falso positivo é um alarme falso gerado por antivírus ou outro software de segurança. Em palavras simples, quando um antivírus ou software de segurança considera um arquivo ou programa genuíno como malicioso, isso é chamado de sinalizador de falso positivo.
Se você instalou um software antivírus em seu sistema, pode ter enfrentado um problema em que o software antivírus bloqueou um arquivo ou programa original. Neste caso, o programa bloqueado não funciona corretamente ou se recusa a iniciar. Os sinalizadores de falso positivo estão sempre incorretos.
Como ocorre um falso positivo?
O software antivírus funciona de diferentes maneiras. Esses métodos incluem detecção de malware baseada em assinatura, detecção de malware baseada em comportamento, etc. Na técnica de detecção de malware baseada em assinatura, o software antivírus usa as assinaturas para identificar se um arquivo ou programa é genuíno ou malicioso. Essas assinaturas também são chamadas de definições. O antivírus recebe as definições de vírus mais recentes baixando a atualização lançada pelo fornecedor.
Na técnica de detecção de malware baseada em comportamento, o antivírus monitora o comportamento de um programa. Se considerar o comportamento do programa malicioso, ele bloqueará esse programa. A técnica de detecção de malware baseada em comportamento pode gerar sinalizadores de falsos positivos. Por exemplo, se um antivírus detectar o comportamento de um programa suspeito, ele bloqueará esse programa.
O que é um falso negativo em segurança cibernética?
Um sinalizador de falso negativo é o inverso de um falso positivo. O Falso Negativo ocorre quando um software antivírus ou software de segurança não consegue detectar um arquivo ou programa malicioso. Alguns malwares usam técnicas avançadas para se esconderem, de forma que o software antivírus não consiga detectá-los e colocá-los em quarentena. Essas ameaças maliciosas não detectadas permanecem ativas nos sistemas do usuário e constituem uma ameaça à segurança.
Como ocorre um falso negativo?
Falso negativo geralmente ocorre quando você não atualiza seu programa antivírus. Os programas antivírus precisam de atualizações regulares para detectar ameaças recém-lançadas. Se você executar um antivírus com definições de vírus desatualizadas, seu sistema estará sujeito a ameaças ou ataques de malware mais recentes. Isso ocorre porque as novas assinaturas de vírus são desconhecidas do seu antivírus. Falsos negativos são um sério risco de segurança para o seu sistema.
Como saber se é um vírus ou um falso positivo?
Se o seu software antivírus bloqueou um arquivo ou programa e você precisa desse arquivo ou programa, você pode identificar a autenticidade desse arquivo ou programa usando alguns métodos. Descrevemos esses métodos abaixo.
- Usando VirusTotal
- Procurando o arquivo online
- Visualizando as assinaturas dos arquivos
Usando VirusTotal
O primeiro método pelo qual você pode identificar a autenticidade de um arquivo ou programa é verificá-lo no VirusTotal ou outro serviço de nuvem semelhante. VirusTotal é um serviço em nuvem que possui diversos mecanismos antivírus. Quando você verifica um arquivo no site do VirusTotal, esses mecanismos antivírus verificam esse arquivo e então o VirusTotal gera o relatório.
Se o seu software antivírus sinalizou um programa ou arquivo genuíno como malicioso, você pode verificá-lo no VirusTotal e visualizar o relatório. Este relatório permitirá que você saiba se outros antivírus sinalizam esse arquivo como malicioso ou não.
Procurando o arquivo online
O próximo método que você pode usar para identificar se um arquivo ou programa é malicioso ou não é pesquisar online. Você pode pesquisar online usando palavras-chave diferentes.
Por exemplo, se o seu programa antivírus sinalizou e colocou em quarentena um arquivo DLL, digamos rundll32.exe, você pode pesquisar sua autenticidade online usando diferentes palavras-chave, como:
- O que é o processo rundll32.exe
- O rundll32.exe é seguro?
- O rundll32.exe é malicioso?
Ao pesquisar online, você verá links para vários sites e fóruns. Para obter informações autênticas, considere visitar sites confiáveis como TheWindowsClub. Isso também ajudará você a saber a autenticidade do arquivo ou do programa.
Visualizando as assinaturas dos arquivos
Outro método eficaz que você pode usar para saber se um arquivo ou programa é malicioso ou um falso positivo é visualizar suas assinaturas. Um arquivo genuíno é assinado digitalmente por seu fornecedor. Você pode visualizar essas informações nas propriedades do arquivo.
As etapas a seguir irão ajudá-lo com isso:
- Clique com o botão direito no arquivo.
- Selecione Propriedades.
- Selecione a guia Assinaturas digitais.
A guia Assinaturas Digitais está disponível para arquivos executáveis e serviços. Agora, você pode visualizar o nome do signatário na guia Assinaturas Digitais. A imagem acima mostra que o arquivo AI Host Ai.exe é assinado digitalmente pela Microsoft. Portanto, é um arquivo genuíno.
Se o seu antivírus sinalizou um programa como malicioso e você deseja visualizar suas assinaturas digitais, não encontrará a guia Assinaturas digitais abrindo suas propriedades no atalho da área de trabalho. Neste caso, é necessário abrir as propriedades do seu arquivo executável no local de instalação. Para fazer isso, clique com o botão direito no atalho da área de trabalho e selecione Abrir local do arquivo.
Como remediar uma ação de falso positivo do Windows Defender?
Se o Microsoft Defender gerar um sinalizador de falso positivo para um arquivo ou programa, você poderá informar ao Microsoft Defender sobre a autenticidade desse arquivo ou programa adicionando-o às Exclusões do Microsoft Defender lista. Depois disso, o Microsoft Defender deixará de alertá-lo sobre esse programa ou de bloqueá-lo.
A opção de adicionar um arquivo ou programa à lista de exceções ou exclusões está disponível em todos os programas antivírus. Portanto, se você usar um antivírus de terceiros, poderá adicionar esse arquivo à sua lista de exceções. Devido à diferença na interface do usuário, o processo para excluir um arquivo ou programa é diferente em diferentes programas antivírus de terceiros.
Onde você relata um falso positivo/negativo à Microsoft?
Relatar os falsos positivos e falsos negativos à Microsoft ajudará a Microsoft a corrigir as detecções. Isso reduzirá a geração de sinalizadores de falsos positivos e diminuirá as chances de o malware permanecer sem ser detectado.
Para relatar um Falso Positivo ou Falso Negativo (ou malware) à Microsoft, você deve visitar o Portal de Envio de Amostras e enviar o arquivo lá. Agora, selecione a opção mais apropriada dentre as seguintes:
- Cliente residencial
- Cliente empresarial
- Desenvolvedor de software
Depois disso, clique em Continuar e faça login usando as credenciais corretas da sua conta. Agora, preencha os detalhes necessários, anexe o arquivo e clique em Continuar.
Eu espero que isso ajude.
O que causa um resultado falso negativo?
Normalmente, um resultado falso negativo é causado devido às definições de vírus desatualizadas do software antivírus. Os fornecedores de antivírus lançam definições de vírus por meio de atualizações regulares. Você deve baixar e instalar essas atualizações regularmente.
O que é verdadeiro positivo e falso positivo em segurança cibernética?
Em segurança cibernética, verdadeiro positivo refere-se à detecção correta de uma ameaça por um programa antivírus ou software de segurança. Por outro lado, um Falso Negativo é a detecção incorreta de uma ameaça, ou seja, um antivírus ou software de segurança detectou o arquivo genuíno como malicioso.
Deixe um comentário