Jak zmniejszyć ryzyko fałszywych alarmów w infrastrukturze krytycznej
Ten artykuł dotyczy:
- Kaspersky Security Center 14.2 (wersja 14.2.0.26967)
- Kaspersky Security Center 14 (wersja 14.0.0.10902)
- Kaspersky Security Center 13.2 (wersja 13.2.0.1511)
- Kaspersky Security Center 13.1 (wersja 13.1.0.8324)
- Kaspersky Security Center 13 (wersja 14.0.0.10902)
- Kaspersky Endpoint Security 12.0.0 for Windows (wersja 12.0.0.465)
- Kaspersky Endpoint Security 11.11.0 for Windows (wersja 11.11.0.452)
- Kaspersky Endpoint Security 11.10.0 for Windows (wersja 11.10.0.399)
- Kaspersky Endpoint Security 11.9.0 for Windows (wersja 11.9.0.351)
- Kaspersky Endpoint Security 11.8.0 for Windows (wersja 11.8.0.384)
- Kaspersky Endpoint Security 11.7.0 for Windows (wersja 11.7.0.669)
- Kaspersky Endpoint Security 11.6.0 for Windows (wersja 11.6.0.394)
- Kaspersky Endpoint Security 11.5.0 for Windows (wersja 11.5.0.590)
- Kaspersky Endpoint Security 11.4.0 for Windows (wersja 11.4.0.233)
Skuteczność ochrony przed zagrożeniami zapewnianej przez rozwiązania Kaspersky potwierdzają niezależne badania. Jakość tej ochrony uzyskiwana jest poprzez wdrażanie różnych technologii, które zapewniają zarówno wysoki poziom wykrywania zagrożeń, jak i minimalną liczbę fałszywych alarmów.
W tym artykule dowiesz się, czym jest fałszywe wykrycie (lub fałszywy alarm) i jak go uniknąć. Dowiesz się też, jak zmniejszyć ryzyko fałszywych alarmów i ewentualnych szkód, które mogą one spowodować. Artykuł ten będzie przydatny zarówno dla firm z infrastrukturą krytyczną, jak i bez niej. Podane zalecenia mają zastosowanie w obu przypadkach.
Co to jest fałszywy alarm?
Fałszywy alarm to nieprawidłowe wykrycie zainfekowania w przypadku czystego pliku lub witryny albo nieprawidłowe wykrycie złośliwego zachowania przez aplikacje Kaspersky. W przypadku fałszywego alarmu plik może zostać usunięty, proces zakończony, a niektóre działania oprogramowania zablokowane. W przypadku infrastruktury krytycznej może to prowadzić do niepożądanych konsekwencji.
Dlaczego fałszywe alarmy występują?
Ochrona przed złośliwym oprogramowaniem jest złożonym zadaniem, które obejmuje połączenie technologii opartych na klasyfikacji i zachowaniu obiektów w celu określenia złośliwego kodu lub złośliwej aktywności.
Ze względu na dużą liczbę złośliwego oprogramowania stosowane są nie tylko selektywne metody „punktowe” (na przykład porównywanie sum kontrolnych), ale także metody heurystyczne, jak również technologie podobieństwa, metody uczenia maszynowego i inne. W rezultacie nie można zagwarantować całkowitego braku błędnej klasyfikacji i fałszywych alarmów, ale można znacznie zmniejszyć ryzyko ich wystąpienia.
Firma Kaspersky stale ulepsza metody i technologie wykrywania złośliwego oprogramowania. Każda aktualizacja naszych antywirusowych baz danych i technologii ochrony jest testowana na ogromnych zbiorach prawidłowych (czystych) plików i wzorców zachowania. Nasze legalne bazy danych oprogramowania zawierają informacje o ponad 6 miliardach obiektów. Stosujemy technologie obliczania popularności obiektów, reputacji plików i podpisów cyfrowych, metody uczenia maszynowego i nie tylko. Skuteczność naszej ochrony przed fałszywymi wykryciami jest regularnie potwierdzana przez niezależne badania.
Nie można jednak całkowicie wyeliminować prawdopodobieństwa wystąpienia fałszywych alarmów, dlatego też zalecamy przestrzeganie kilku zasad, które zmniejszą ryzyko dla Twojej firmy.
Jak uniknąć fałszywych alarmów i związanych z nimi niepożądanych konsekwencji?
Aby zmniejszyć ryzyko fałszywych alarmów w ramach rozwiązań Kaspersky w infrastrukturze krytycznej, należy stosować się do poniższych zaleceń:
- Wysyłaj pliki za pośrednictwem programu Allowlist, aby zagwarantować włączenie ich do bazy danych legalnego oprogramowania przed użyciem w swojej infrastrukturze. Korzystanie z programu jest bezpłatne.
- Podpisuj zastrzeżone (prywatne) oprogramowanie podpisem cyfrowym w celu zminimalizowania fałszywych alarmów w przyszłych nowych wersjach.
- Korzystaj z rozwiązań Kaspersky Security Network lub Kaspersky Private Security Network w aplikacjach Kaspersky.
- Przetestuj działanie nowego oprogramowania lub najnowszych wersji oprogramowania, które jest już używane w Twojej infrastrukturze, z aplikacjami Kaspersky na ograniczonej liczbie urządzeń z wyprzedzeniem – przed jego wdrożeniem w całej infrastrukturze.
- Skorzystaj z mechanizmu wyjątków w aplikacjach Kaspersky w przypadku niekompatybilnych wersji oprogramowania.
- Skontaktuj się z pomocą techniczną w przypadku fałszywych alarmów lub wykrycia niezgodności oprogramowania używanego z aplikacjami Kaspersky. Aby to zrobić, utwórz zgłoszenie w CompanyAccount i podaj wszystkie informacje niezbędne do rozwiązania problemu.
- Opis problemu
- Przykład oprogramowania powodującego problem
- Pliki śledzenia zebrane w momencie nieprawidłowego zachowania aplikacji Kaspersky w odniesieniu do oprogramowania używanego w infrastrukturze.