مثبت کاذب در امنیت سایبری چیست؟

7 دقیقه خواندن Aba 462 Views

https://www.thewindowsclub.com/what-is-a-false-positive-in-cyber-security

 

امنیت سایبری شاخه‌ای از فناوری است که از سیستم‌های رایانه‌ای، دستگاه‌های تلفن همراه، سرورها و غیره در برابر حملات مخرب محافظت می‌کند. عوامل مخرب مختلف، این حملات مخرب را انجام می‌دهند. هدف عوامل مخرب دسترسی یا از بین بردن اطلاعات حساس کاربران است. نرم افزار امنیتی از کاربران در برابر تهدیدات سایبری محافظت می‌کند. نرم افزار آنتی ویروس پرکاربردترین نرم افزار امنیتی است. اصطلاح مثبت کاذب علاوه بر سایر حوزه‌ها مانند هوش مصنوعی یا پزشکی، در زمینه امنیت سایبری هم استفاده می‌شود. در این مطلب، در مورد اینکه مثبت کاذب در امنیت سایبری چیست صحبت خواهیم کرد

 

 

بطور خلاصه مثبت کاذب مانند آژیر اشتباه است. یعنی در مواقعی که خطری وجود ندارد به اشتباه صدای اعلام هشدار پخش می‌شود.

 

مثبت کاذب در امنیت سایبری چیست؟

منفی کاذب و مثبت کاذب اصطلاحات پرکاربردی در زمینه امنیت سایبری هستند. ممکن است برخی از شما این اصطلاحات را شنیده باشید. در این پست موارد مثبت کاذب و منفی کاذب شناسایی شده توسط آنتی ویروس و نرم افزارهای امنیتی و اینکه چگونه می‌توانید چنین تشخیص‌هایی را در لیست سفید قرار دهید بحث می‌کند.

مثبت کاذب یک هشدار کاذب است که توسط آنتی ویروس یا سایر نرم افزارهای امنیتی ایجاد می‌شود. به عبارت ساده، هنگامی که یک آنتی ویروس یا نرم افزار امنیتی یک فایل یا برنامه واقعی و سالم را مخرب می‌داند، به آن پرچم مثبت کاذب می‌گویند.

اگر نرم افزار آنتی ویروس را روی سیستم خود نصب کرده‌اید، ممکن است با مشکلی مواجه شده باشید که در آن نرم افزار آنتی ویروس شما یک فایل یا برنامه اصلی را مسدود کرده است. در این حالت، برنامه مسدود شده به درستی کار نمی‌کند یا از راه‌اندازی خودداری می‌کند. پرچم‌های مثبت کاذب همیشه نادرست هستند.

مثبت کاذب چگونه رخ می‌دهد؟

نرم افزار آنتی ویروس با روش‌های مختلفی کار می‌کند. این روش‌ها شامل تشخیص بدافزار مبتنی بر امضا، تشخیص بدافزار مبتنی بر رفتار و غیره است. در تکنیک تشخیص بدافزار مبتنی بر امضا، نرم افزار آنتی ویروس از امضاها برای تشخیص واقعی یا مخرب بودن یک فایل یا برنامه استفاده می‌کند. به این امضاها تعاریف نیز می‌گویند. آنتی ویروس با دانلود به روز رسانی منتشر شده توسط فروشنده، آخرین تعاریف ویروس را دریافت می‌کند.

در تکنیک تشخیص بدافزار مبتنی بر رفتار، آنتی ویروس بر رفتار یک برنامه نظارت می‌کند. اگر رفتار برنامه را مخرب تشخیص دهد، آن برنامه را مسدود می‌کند. تکنیک تشخیص بدافزار مبتنی بر رفتار می‌تواند پرچم‌های مثبت کاذب ایجاد کند. به عنوان مثال، اگر یک آنتی ویروس رفتار یک برنامه مشکوک را شناسایی کند، آن برنامه را مسدود می‌کند.

منفی کاذب در امنیت سایبری چیست؟

پرچم منفی کاذب معکوس مثبت کاذب است. منفی کاذب زمانی رخ می‌دهد که یک نرم افزار آنتی ویروس یا نرم افزار امنیتی نتواند یک فایل یا برنامه مخرب را شناسایی کند. برخی از بدافزارها از تکنیک‌های پیشرفته برای پنهان کردن خود استفاده می‌کنند تا نرم افزار آنتی ویروس نتواند آنها را شناسایی و قرنطینه کند. این تهدیدات مخرب کشف نشده بر روی سیستم‌های کاربر فعال باقی می‌مانند و دارای یک تهدید امنیتی هستند.

منفی کاذب چگونه رخ می‌دهد؟

کاذب منفی معمولا زمانی رخ می‌دهد که برنامه آنتی ویروس خود را به روز نکرده باشید. برنامه‌های آنتی ویروس برای شناسایی تهدیدهای تازه منتشر شده نیاز به به روز رسانی منظم دارند. اگر آنتی ویروسی با تعاریف قدیمی از اطلاعات ویروس اجرا کنید، سیستم شما مستعد تهدیدات جدیدتر یا حملات بدافزار خواهد بود. این به این دلیل است که امضاهای ویروس جدید برای آنتی ویروس شما ناشناخته هستند. منفی‌های کاذب یک خطر امنیتی جدی برای سیستم شما هستند.

چگونه تشخیص دهیم که ویروس است یا مثبت کاذب؟

اگر نرم افزار آنتی ویروس شما فایل یا برنامه‌ای را مسدود کرده است و به آن فایل یا برنامه نیاز دارید، می‌توانید با استفاده از روش‌هایی صحت آن فایل یا برنامه را شناسایی کنید. در ادامه این روش‌ها را شرح داده ایم.

  • با استفاده از VirusTotal
  • جستجوی آنلاین فایل
  • مشاهده امضاهای فایل

با استفاده از VirusTotal

اولین روشی که از طریق آن می‌توانید صحت یک فایل یا برنامه را شناسایی کنید، اسکن آن در VirusTotal یا سرویس ابری مشابه دیگری است. VirusTotal یک سرویس ابری است که دارای چندین موتور آنتی ویروس است. هنگامی که یک فایل را در وب‌سایت VirusTotal اسکن می‌کنید، این موتورهای آنتی ویروس آن فایل را اسکن می‌کنند و سپس VirusTotal گزارش را ایجاد می‌کند.

اگر نرم افزار آنتی ویروس شما یک برنامه یا فایل سالم را به عنوان مخرب علامت گذاری کرده است، می‌توانید آن را در VirusTotal اسکن کرده و گزارش را مشاهده کنید. این گزارش به شما اطلاع می‌دهد که آیا آنتی ویروس‌های دیگر آن فایل را مخرب پرچم گذاری می‌کنند یا خیر.

 

جستجوی آنلاین فایل

روش بعدی که می‌توانید برای شناسایی مخرب بودن یا نبودن یک فایل یا برنامه استفاده کنید، جستجوی آنلاین است. با استفاده از کلمات کلیدی مختلف می‌توانید به صورت آنلاین جستجو کنید.

به عنوان مثال، اگر برنامه آنتی ویروس شما یک فایل DLL، مثلا rundll32.exe را علامت گذاری کرده و قرنطینه کرده است، می‌توانید با استفاده از کلمات کلیدی مختلف، صحت آن را به صورت آنلاین جستجو کنید، مانند:

  • برنامه rundll32.exe چیست؟
  • آیا rundll32.exe ایمن است؟
  • آیا rundll32.exe مخرب است؟

در حین جستجوی آنلاین، لینک‌های وب‌سایت‌ها و انجمن‌های مختلف را مشاهده خواهید کرد. برای به دست آوردن اطلاعات معتبر، بازدید کنید. همچنین می‌توانید نظرات ارسال شده توسط کاربران مختلف در انجمن‌های مختلف را مطالعه کنید. این همچنین به شما کمک می‌کند تا از صحت فایل یا برنامه مطلع شوید.

مشاهده امضاهای فایل

یکی دیگر از روش‌های مؤثری که می‌توانید برای اطلاع از مخرب بودن یا مثبت کاذب بودن یک فایل یا برنامه استفاده کنید، مشاهده امضاهای آن است. یک فایل واقعی به صورت دیجیتالی توسط فروشنده آن امضا می‌شود. می توانید این اطلاعات را در مشخصات فایل مشاهده کنید.

مراحل زیر به شما در این امر کمک می‌کند:

  1. روی فایل کلیک راست کنید.
  2. Properties را انتخاب کنید
  3. برگه امضای دیجیتال را انتخاب کنید

برگه امضای دیجیتال برای فایل‌ها و خدمات قابل اجرا در دسترس است. اکنون می‌توانید نام امضاکننده را در برگه امضاهای دیجیتال مشاهده کنید. تصویر بالا نشان می‌دهد که فایل AI Host Ai.exe به صورت دیجیتالی توسط مایکروسافت امضا شده است. بنابراین، این یک فایل واقعی است.

اگر آنتی ویروس شما برنامه‌ای را به‌عنوان مخرب علامت‌گذاری کرده است و می‌خواهید امضاهای دیجیتال آن را مشاهده کنید، با باز کردن ویژگی‌های آن از میانبر دسکتاپ، تب امضاهای دیجیتال را پیدا نخواهید کرد. در این صورت باید ویژگی‌های فایل اجرایی آن را از محل نصب باز کنید. برای انجام این کار، روی میانبر دسکتاپ راست کلیک کرده و Open file location را انتخاب کنید.

 

چگونه یک هشدار مثبت کاذب توسط Windows Defender را برطرف کنیم؟

اگر مایکروسافت دیفندر یک پرچم مثبت کاذب برای یک فایل یا برنامه ایجاد کند، می‌توانید با افزودن آن به فهرست موارد استثنای Microsoft Defender، صحت آن فایل یا برنامه را به مایکروسافت دیفندر اطلاع دهید. پس از آن، مایکروسافت دیفندر اطلاع رسانی به شما در مورد آن برنامه را متوقف می‌کند یا مسدود کردن آن برنامه را متوقف می‌کند.

گزینه اضافه کردن یک فایل یا یک برنامه به لیست استثنا یا حذف در همه برنامه‌های آنتی ویروس موجود است. بنابراین، اگر از آنتی ویروس شخص ثالث استفاده می‌کنید، می‌توانید آن فایل را به لیست استثناهای آن اضافه کنید. به دلیل تفاوت در رابط کاربری، فرآیند مستثنا کردن یک فایل یا برنامه در برنامه‌های آنتی ویروس شخص ثالث متفاوت است.

 

بخوانید : چگونه  بفهمیم کامپیوتر شما ویروسی شده است؟

 

کجا یک مثبت/منفی کاذب را به مایکروسافت گزارش می‌دهید؟

گزارش موارد مثبت و منفی کاذب به مایکروسافت به مایکروسافت کمک می‌کند تا تشخیص‌ها را تصحیح کند. این باعث کاهش تولید پرچم‌های مثبت کاذب و کاهش احتمال عدم شناسایی بدافزار می‌شود.

برای گزارش مثبت کاذب یا منفی کاذب (یا بدافزار) به مایکروسافت، باید به پورتال ارسال نمونه مراجعه کرده و فایل را در آنجا ارسال کنید. حال از بین گزینه‌های زیر مناسب ترین گزینه را انتخاب کنید:

  • مشتری خانه
  • مشتری سازمانی
  • توسعه دهنده نرم افزار

پس از آن، روی Continue کلیک کنید و با استفاده از اطلاعات کاربری صحیح حساب خود وارد شوید. اکنون، جزئیات مورد نیاز را پر کنید، فایل را پیوست کنید و روی Continue کلیک کنید.

امیدوارم کمک کند.

چه چیزی باعث یک نتیجه منفی کاذب می‌شود؟

معمولاً یک نتیجه منفی کاذب به دلیل تعاریف قدیمی پایگاه داده ویروس در نرم افزار آنتی ویروس ایجاد می‌شود. فروشندگان آنتی ویروس تعاریف ویروس را از طریق به روز رسانی منظم منتشر می‌کنند. شما باید این به روز رسانی‌ها را به طور مرتب دانلود و نصب کنید.

مثبت صحیح و کاذب در امنیت سایبری چیست؟

در امنیت سایبری، True Positive یا مثبت صحیح به تشخیص صحیح یک تهدید توسط یک برنامه آنتی ویروس یا یک نرم افزار امنیتی اشاره دارد. از سوی دیگر، مثبت کاذب تشخیص نادرست یک تهدید است، یعنی آنتی ویروس یا نرم افزار امنیتی فایل سالم را مخرب تشخیص داده است.

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *