Como reduzir os riscos de falsos positivos em uma infraestrutura crítica
Este artigo aborda:
- Kaspersky Security Center 14.2 (versão 14.2.0.26967)
- Kaspersky Security Center 14 (versão 14.0.0.10902)
- Kaspersky Security Center 13.2 (versão 13.2.0.1511)
- Kaspersky Security Center 13.1 (versão 13.1.0.8324)
- Kaspersky Security Center 13 (versão 14.0.0.10902)
- Kaspersky Endpoint Security 12.0.0 for Windows (versão 12.0.0.465)
- Kaspersky Endpoint Security 11.11.0 for Windows (versão 11.11.0.452)
- Kaspersky Endpoint Security 11.10.0 for Windows (versão 11.10.0.399)
- Kaspersky Endpoint Security 11.9.0 for Windows (versão 11.9.0.351)
- Kaspersky Endpoint Security 11.8.0 for Windows (versão 11.8.0.384)
- Kaspersky Endpoint Security 11.7.0 for Windows (versão 11.7.0.669)
- Kaspersky Endpoint Security 11.6.0 for Windows (versão 11.6.0.394)
- Kaspersky Endpoint Security 11.5.0 for Windows (versão 11.5.0.590)
- Kaspersky Endpoint Security 11.4.0 for Windows (versão 11.4.0.233)
A eficiência de proteção contra ameaças das soluções da Kaspersky foi confirmada por uma pesquisa independente. A qualidade da proteção é criada pela implementação de uma variedade de tecnologias que fornecem um alto nível de detecção de ameaças e o mínimo de alarmes falsos.
No artigo, você aprenderá o que é uma detecção falsa (ou um falso positivo) e como evitá-la. Além disso, você saberá como diminuir os riscos de alarmes falsos e os danos que eles podem causar. Este artigo é útil para empresas com e sem infraestrutura crítica. As recomendações são aplicáveis nos dois casos.
Qual é o falso positivo?
O falso positivo é uma detecção incorreta de um arquivo ou um site limpo como infectado ou um comportamento como malicioso pelos aplicativos da Kaspersky. Em caso de falso positivo, um arquivo pode ser excluído, um processo pode ser encerrado e algumas ações de software podem ser bloqueadas. Em uma infraestrutura crítica, isso pode levar a consequências indesejáveis.
Por que os falsos positivos acontecem?
A proteção contra software malicioso é uma tarefa complexa que envolve uma combinação de tecnologias baseadas na classificação e no comportamento do objeto para determinar um código ou atividade malicioso.
Devido ao grande número de softwares maliciosos, são usados não apenas métodos de "ponto" seletivos (por exemplo, comparação de somas de hash), mas também heurísticos, bem como tecnologias de similaridade, métodos de aprendizado de máquina e outros. Consequentemente, não é possível garantir a ausência total de erros de classificação e falsos positivos. No entanto, os riscos de tais ocorrência podem ser significativamente reduzidos.
A Kaspersky melhora constantemente os métodos e tecnologias de detecção de malware. Cada atualização de nossos bancos de dados de antivírus e tecnologias de proteção é testada em grandes coleções de arquivos (limpos) e padrões de atividade legítimos. Nossos bancos de dados de software legítimos contêm dados sobre mais de 6 bilhões de objetos. Aplicamos as tecnologias de cálculo de popularidade de objetos, reputação de arquivos e assinaturas digitais, métodos de aprendizado de máquina e outras. A eficiência de nossa proteção contra ameaças em relação às detecções falsas é regularmente confirmada por pesquisas independentes.
No entanto, a probabilidade de falsos positivos não pode ser eliminada completamente, por isso recomendamos seguir várias regras que reduzirão os riscos para sua empresa.
Como evitar falsos positivos e as consequências indesejáveis relacionadas
Para reduzir os riscos de detecções falsas das soluções da Kaspersky em uma infraestrutura crítica, siga as seguintes recomendações:
- Envie arquivos por meio do Programa de Listas de Permissão para garantir a inclusão no banco de dados de software legítimo antes de usá-los em sua infraestrutura. A participação no programa é gratuita.
- Assine o software exclusivo (privado) com assinatura digital para minimizar os falsos positivos em novas versões no futuro.
- Use a Kaspersky Security Network ou a Kaspersky Private Security Network em aplicativos da Kaspersky.
- Com antecedência, teste a operação de um novo software e das versões mais recentes dele, que já é usado em sua infraestrutura, com aplicativos da Kaspersky em um número limitado de dispositivos antes da implantação em toda a infraestrutura.
- Use um mecanismo de exceção nos aplicativos da Kaspersky para versões incompatíveis do software.
- Entre em contato com o suporte técnico em caso de falsos positivos ou se você detectar incompatibilidade do software usado com os aplicativos da Kaspersky. Para fazer isso, crie uma solicitação no CompanyAccount e forneça todas as informações necessárias para resolver o problema.
- Descrição do problema
- Exemplo de um software que está causando o problema
- Arquivos de rastreamento coletados no momento de comportamento incorreto de um aplicativo da Kaspersky em relação ao software usado na infraestrutura.