مثبت کاذب در امنیت سایبری چیست؟
https://www.thewindowsclub.com/what-is-a-false-positive-in-cyber-security
امنیت سایبری شاخهای از فناوری است که از سیستمهای رایانهای، دستگاههای تلفن همراه، سرورها و غیره در برابر حملات مخرب محافظت میکند. عوامل مخرب مختلف، این حملات مخرب را انجام میدهند. هدف عوامل مخرب دسترسی یا از بین بردن اطلاعات حساس کاربران است. نرم افزار امنیتی از کاربران در برابر تهدیدات سایبری محافظت میکند. نرم افزار آنتی ویروس پرکاربردترین نرم افزار امنیتی است. اصطلاح مثبت کاذب علاوه بر سایر حوزهها مانند هوش مصنوعی یا پزشکی، در زمینه امنیت سایبری هم استفاده میشود. در این مطلب، در مورد اینکه مثبت کاذب در امنیت سایبری چیست صحبت خواهیم کرد
بطور خلاصه مثبت کاذب مانند آژیر اشتباه است. یعنی در مواقعی که خطری وجود ندارد به اشتباه صدای اعلام هشدار پخش میشود.
مثبت کاذب در امنیت سایبری چیست؟
منفی کاذب و مثبت کاذب اصطلاحات پرکاربردی در زمینه امنیت سایبری هستند. ممکن است برخی از شما این اصطلاحات را شنیده باشید. در این پست موارد مثبت کاذب و منفی کاذب شناسایی شده توسط آنتی ویروس و نرم افزارهای امنیتی و اینکه چگونه میتوانید چنین تشخیصهایی را در لیست سفید قرار دهید بحث میکند.
مثبت کاذب یک هشدار کاذب است که توسط آنتی ویروس یا سایر نرم افزارهای امنیتی ایجاد میشود. به عبارت ساده، هنگامی که یک آنتی ویروس یا نرم افزار امنیتی یک فایل یا برنامه واقعی و سالم را مخرب میداند، به آن پرچم مثبت کاذب میگویند.
اگر نرم افزار آنتی ویروس را روی سیستم خود نصب کردهاید، ممکن است با مشکلی مواجه شده باشید که در آن نرم افزار آنتی ویروس شما یک فایل یا برنامه اصلی را مسدود کرده است. در این حالت، برنامه مسدود شده به درستی کار نمیکند یا از راهاندازی خودداری میکند. پرچمهای مثبت کاذب همیشه نادرست هستند.
مثبت کاذب چگونه رخ میدهد؟
نرم افزار آنتی ویروس با روشهای مختلفی کار میکند. این روشها شامل تشخیص بدافزار مبتنی بر امضا، تشخیص بدافزار مبتنی بر رفتار و غیره است. در تکنیک تشخیص بدافزار مبتنی بر امضا، نرم افزار آنتی ویروس از امضاها برای تشخیص واقعی یا مخرب بودن یک فایل یا برنامه استفاده میکند. به این امضاها تعاریف نیز میگویند. آنتی ویروس با دانلود به روز رسانی منتشر شده توسط فروشنده، آخرین تعاریف ویروس را دریافت میکند.
در تکنیک تشخیص بدافزار مبتنی بر رفتار، آنتی ویروس بر رفتار یک برنامه نظارت میکند. اگر رفتار برنامه را مخرب تشخیص دهد، آن برنامه را مسدود میکند. تکنیک تشخیص بدافزار مبتنی بر رفتار میتواند پرچمهای مثبت کاذب ایجاد کند. به عنوان مثال، اگر یک آنتی ویروس رفتار یک برنامه مشکوک را شناسایی کند، آن برنامه را مسدود میکند.
منفی کاذب در امنیت سایبری چیست؟
پرچم منفی کاذب معکوس مثبت کاذب است. منفی کاذب زمانی رخ میدهد که یک نرم افزار آنتی ویروس یا نرم افزار امنیتی نتواند یک فایل یا برنامه مخرب را شناسایی کند. برخی از بدافزارها از تکنیکهای پیشرفته برای پنهان کردن خود استفاده میکنند تا نرم افزار آنتی ویروس نتواند آنها را شناسایی و قرنطینه کند. این تهدیدات مخرب کشف نشده بر روی سیستمهای کاربر فعال باقی میمانند و دارای یک تهدید امنیتی هستند.
منفی کاذب چگونه رخ میدهد؟
کاذب منفی معمولا زمانی رخ میدهد که برنامه آنتی ویروس خود را به روز نکرده باشید. برنامههای آنتی ویروس برای شناسایی تهدیدهای تازه منتشر شده نیاز به به روز رسانی منظم دارند. اگر آنتی ویروسی با تعاریف قدیمی از اطلاعات ویروس اجرا کنید، سیستم شما مستعد تهدیدات جدیدتر یا حملات بدافزار خواهد بود. این به این دلیل است که امضاهای ویروس جدید برای آنتی ویروس شما ناشناخته هستند. منفیهای کاذب یک خطر امنیتی جدی برای سیستم شما هستند.
چگونه تشخیص دهیم که ویروس است یا مثبت کاذب؟
اگر نرم افزار آنتی ویروس شما فایل یا برنامهای را مسدود کرده است و به آن فایل یا برنامه نیاز دارید، میتوانید با استفاده از روشهایی صحت آن فایل یا برنامه را شناسایی کنید. در ادامه این روشها را شرح داده ایم.
- با استفاده از VirusTotal
- جستجوی آنلاین فایل
- مشاهده امضاهای فایل
با استفاده از VirusTotal
اولین روشی که از طریق آن میتوانید صحت یک فایل یا برنامه را شناسایی کنید، اسکن آن در VirusTotal یا سرویس ابری مشابه دیگری است. VirusTotal یک سرویس ابری است که دارای چندین موتور آنتی ویروس است. هنگامی که یک فایل را در وبسایت VirusTotal اسکن میکنید، این موتورهای آنتی ویروس آن فایل را اسکن میکنند و سپس VirusTotal گزارش را ایجاد میکند.
اگر نرم افزار آنتی ویروس شما یک برنامه یا فایل سالم را به عنوان مخرب علامت گذاری کرده است، میتوانید آن را در VirusTotal اسکن کرده و گزارش را مشاهده کنید. این گزارش به شما اطلاع میدهد که آیا آنتی ویروسهای دیگر آن فایل را مخرب پرچم گذاری میکنند یا خیر.
جستجوی آنلاین فایل
روش بعدی که میتوانید برای شناسایی مخرب بودن یا نبودن یک فایل یا برنامه استفاده کنید، جستجوی آنلاین است. با استفاده از کلمات کلیدی مختلف میتوانید به صورت آنلاین جستجو کنید.
به عنوان مثال، اگر برنامه آنتی ویروس شما یک فایل DLL، مثلا rundll32.exe را علامت گذاری کرده و قرنطینه کرده است، میتوانید با استفاده از کلمات کلیدی مختلف، صحت آن را به صورت آنلاین جستجو کنید، مانند:
- برنامه rundll32.exe چیست؟
- آیا rundll32.exe ایمن است؟
- آیا rundll32.exe مخرب است؟
در حین جستجوی آنلاین، لینکهای وبسایتها و انجمنهای مختلف را مشاهده خواهید کرد. برای به دست آوردن اطلاعات معتبر، بازدید کنید. همچنین میتوانید نظرات ارسال شده توسط کاربران مختلف در انجمنهای مختلف را مطالعه کنید. این همچنین به شما کمک میکند تا از صحت فایل یا برنامه مطلع شوید.
مشاهده امضاهای فایل
یکی دیگر از روشهای مؤثری که میتوانید برای اطلاع از مخرب بودن یا مثبت کاذب بودن یک فایل یا برنامه استفاده کنید، مشاهده امضاهای آن است. یک فایل واقعی به صورت دیجیتالی توسط فروشنده آن امضا میشود. می توانید این اطلاعات را در مشخصات فایل مشاهده کنید.
مراحل زیر به شما در این امر کمک میکند:
- روی فایل کلیک راست کنید.
- Properties را انتخاب کنید
- برگه امضای دیجیتال را انتخاب کنید
برگه امضای دیجیتال برای فایلها و خدمات قابل اجرا در دسترس است. اکنون میتوانید نام امضاکننده را در برگه امضاهای دیجیتال مشاهده کنید. تصویر بالا نشان میدهد که فایل AI Host Ai.exe به صورت دیجیتالی توسط مایکروسافت امضا شده است. بنابراین، این یک فایل واقعی است.
اگر آنتی ویروس شما برنامهای را بهعنوان مخرب علامتگذاری کرده است و میخواهید امضاهای دیجیتال آن را مشاهده کنید، با باز کردن ویژگیهای آن از میانبر دسکتاپ، تب امضاهای دیجیتال را پیدا نخواهید کرد. در این صورت باید ویژگیهای فایل اجرایی آن را از محل نصب باز کنید. برای انجام این کار، روی میانبر دسکتاپ راست کلیک کرده و Open file location را انتخاب کنید.
چگونه یک هشدار مثبت کاذب توسط Windows Defender را برطرف کنیم؟
اگر مایکروسافت دیفندر یک پرچم مثبت کاذب برای یک فایل یا برنامه ایجاد کند، میتوانید با افزودن آن به فهرست موارد استثنای Microsoft Defender، صحت آن فایل یا برنامه را به مایکروسافت دیفندر اطلاع دهید. پس از آن، مایکروسافت دیفندر اطلاع رسانی به شما در مورد آن برنامه را متوقف میکند یا مسدود کردن آن برنامه را متوقف میکند.
گزینه اضافه کردن یک فایل یا یک برنامه به لیست استثنا یا حذف در همه برنامههای آنتی ویروس موجود است. بنابراین، اگر از آنتی ویروس شخص ثالث استفاده میکنید، میتوانید آن فایل را به لیست استثناهای آن اضافه کنید. به دلیل تفاوت در رابط کاربری، فرآیند مستثنا کردن یک فایل یا برنامه در برنامههای آنتی ویروس شخص ثالث متفاوت است.
بخوانید : چگونه بفهمیم کامپیوتر شما ویروسی شده است؟
کجا یک مثبت/منفی کاذب را به مایکروسافت گزارش میدهید؟
گزارش موارد مثبت و منفی کاذب به مایکروسافت به مایکروسافت کمک میکند تا تشخیصها را تصحیح کند. این باعث کاهش تولید پرچمهای مثبت کاذب و کاهش احتمال عدم شناسایی بدافزار میشود.
برای گزارش مثبت کاذب یا منفی کاذب (یا بدافزار) به مایکروسافت، باید به پورتال ارسال نمونه مراجعه کرده و فایل را در آنجا ارسال کنید. حال از بین گزینههای زیر مناسب ترین گزینه را انتخاب کنید:
- مشتری خانه
- مشتری سازمانی
- توسعه دهنده نرم افزار
پس از آن، روی Continue کلیک کنید و با استفاده از اطلاعات کاربری صحیح حساب خود وارد شوید. اکنون، جزئیات مورد نیاز را پر کنید، فایل را پیوست کنید و روی Continue کلیک کنید.
امیدوارم کمک کند.
چه چیزی باعث یک نتیجه منفی کاذب میشود؟
معمولاً یک نتیجه منفی کاذب به دلیل تعاریف قدیمی پایگاه داده ویروس در نرم افزار آنتی ویروس ایجاد میشود. فروشندگان آنتی ویروس تعاریف ویروس را از طریق به روز رسانی منظم منتشر میکنند. شما باید این به روز رسانیها را به طور مرتب دانلود و نصب کنید.
مثبت صحیح و کاذب در امنیت سایبری چیست؟
در امنیت سایبری، True Positive یا مثبت صحیح به تشخیص صحیح یک تهدید توسط یک برنامه آنتی ویروس یا یک نرم افزار امنیتی اشاره دارد. از سوی دیگر، مثبت کاذب تشخیص نادرست یک تهدید است، یعنی آنتی ویروس یا نرم افزار امنیتی فایل سالم را مخرب تشخیص داده است.