Cómo reducir los riesgos de falsos positivos en una infraestructura crítica
Este artículo comprende las siguientes versiones:
- Kaspersky Security Center 14.2 (versión 14.2.0.26967)
- Kaspersky Security Center 14 (versión 14.0.0.10902)
- Kaspersky Security Center 13.2 (versión 13.2.0.1511)
- Kaspersky Security Center 13.1 (versión 13.1.0.8324)
- Kaspersky Security Center 13 (versión 14.0.0.10902)
- Kaspersky Endpoint Security 12.0.0 para Windows (versión 12.0.0.465)
- Kaspersky Endpoint Security 11.11.0 para Windows (versión 11.11.0.452)
- Kaspersky Endpoint Security 11.10.0 para Windows (versión 11.10.0.399)
- Kaspersky Endpoint Security 11.9.0 para Windows (versión 11.9.0.351)
- Kaspersky Endpoint Security 11.8.0 para Windows (versión 11.8.0.384)
- Kaspersky Endpoint Security 11.7.0 para Windows (versión 11.7.0.669)
- Kaspersky Endpoint Security 11.6.0 para Windows (versión 11.6.0.394)
- Kaspersky Endpoint Security 11.5.0 para Windows (versión 11.5.0.590)
- Kaspersky Endpoint Security 11.4.0 para Windows (versión 11.4.0.233)
La eficacia de la protección frente a amenazas de las soluciones de Kaspersky está confirmada por investigaciones independientes. La calidad de la protección se logra mediante la implementación de una variedad de tecnologías que proporcionan un alto nivel de detección de amenazas y una cantidad mínima de falsas alarmas.
En el artículo, aprenderá qué es una detección falsa (o un falso positivo) y cómo evitarla. Además, sabrá cómo disminuir los riesgos de falsas alarmas y los posibles daños que podrían ocasionar. Este artículo será de utilidad tanto para empresas con infraestructura crítica como empresas sin ella. Las recomendaciones son pertinentes en ambos casos.
¿Qué es el falso positivo?
Un falso positivo es la detección incorrecta por parte de las aplicaciones de Kaspersky de un archivo limpio o un sitio web como infectados, o un de comportamiento como malicioso. En caso de un falso positivo, se podría eliminar un archivo, se puede finalizar un proceso y podrían bloquearse algunas acciones del software. En una infraestructura crítica, esto puede tener consecuencias no deseadas.
¿A qué se deben los falsos positivos?
La protección contra software maliciosos es una tarea compleja que implica una combinación de tecnologías basadas en la clasificación y el comportamiento del objeto para determinar un código o una actividad maliciosos.
Debido a la gran cantidad de software maliciosos, se utilizan no solo métodos "puntuales" selectivos (por ejemplo, comparación de sumas hash) sino también heurísticos, así como tecnologías de similitud, métodos de aprendizaje automático y otros. En consecuencia, no es posible garantizar la ausencia total de errores de clasificación y falsos positivos, pero los riesgos de que ocurran pueden reducirse significativamente.
Kaspersky mejora constantemente los métodos y las tecnologías de detección de software malicioso. Cada actualización de nuestras bases de datos antivirus y tecnologías de protección se prueba en grandes colecciones de archivos legítimos (limpios) y patrones de actividad. Nuestras bases de datos de software legítimo contienen datos sobre más de 6000 millones de objetos. Aplicamos las tecnologías de cálculo de popularidad de objetos, reputación de archivos y firmas digitales, y métodos de aprendizaje automático, entre otros. La eficacia de nuestra protección contra amenazas en caso de detecciones falsas se confirma periódicamente mediante investigaciones independientes.
Sin embargo, como la probabilidad de falsos positivos no se puede eliminar por completo, le recomendamos seguir varias reglas que reducirán los riesgos para su empresa.
Cómo evitar falsos positivos y consecuencias no deseadas conectadas
Para reducir los riesgos de detecciones falsas de las soluciones de Kaspersky en una infraestructura crítica, siga estas recomendaciones:
- Envíe archivos a través del programa de lista de admitidos para garantizar su inclusión en la base de datos de software legítimo antes de usarlos en la infraestructura. La participación en el programa es gratuita.
- Firme los software propietarios (privados) con una firma digital para minimizar los falsos positivos en versiones nuevas en el futuro.
- Utilice Kaspersky Security Network o Kaspersky Private Security Network en las aplicaciones de Kaspersky.
- Pruebe de antemano el funcionamiento de un software nuevo y las últimas versiones del software, que ya se utilice en su infraestructura, con las aplicaciones de Kaspersky en una cantidad limitada de dispositivos antes de su despliegue en toda la infraestructura.
- Use un mecanismo de excepción en las aplicaciones de Kaspersky para las versiones de software incompatible.
- Póngase en contacto con el servicio de soporte técnico en caso de falsos positivos o si detecta una incompatibilidad entre el software que usa y las aplicaciones de Kaspersky. Para hacerlo, cree una solicitud en CompanyAccount y proporcione toda la información necesaria para resolver el problema.
- Descripción del problema
- Ejemplo de un software que causa el problema
- Rastree los archivos recolectados en el momento del comportamiento incorrecto de una aplicación de Kaspersky con respecto al software utilizado en la infraestructura.