Come ridurre i rischi di falsi positivi in un'infrastruttura critica
Questo articolo fa riferimento a:
- Kaspersky Security Center 14.2 (versione 14.2.0.26967)
- Kaspersky Security Center 14 (versione 14.0.0.10902)
- Kaspersky Security Center 13.2 (versione 13.2.0.1511)
- Kaspersky Security Center 13.1 (versione 13.1.0.8324)
- Kaspersky Security Center 13 (versione 14.0.0.10902)
- Kaspersky Endpoint Security 12.0.0 for Windows (versione 12.0.0.465)
- Kaspersky Endpoint Security 11.11.0 for Windows (versione 11.11.0.452)
- Kaspersky Endpoint Security 11.10.0 for Windows (versione 11.10.0.399)
- Kaspersky Endpoint Security 11.9.0 for Windows (versione 11.9.0.351)
- Kaspersky Endpoint Security 11.8.0 for Windows (versione 11.8.0.384)
- Kaspersky Endpoint Security 11.7.0 for Windows (versione 11.7.0.669)
- Kaspersky Endpoint Security 11.6.0 for Windows (versione 11.6.0.394)
- Kaspersky Endpoint Security 11.5.0 for Windows (versione 11.5.0.590)
- Kaspersky Endpoint Security 11.4.0 for Windows (versione 11.4.0.233)
L'efficienza della protezione dalle minacce delle soluzioni Kaspersky è confermata da ricerche indipendenti. La qualità della protezione viene creata implementando una varietà di tecnologie che forniscono sia un alto livello di rilevamento delle minacce che un numero minimo di falsi avvisi.
Nell'articolo imparerai che cos'è un falso rilevamento (o un falso positivo) e come evitarlo. Inoltre, saprai come ridurre i rischi di falsi avvisi e gli eventuali danni che possono causare. Questo articolo sarà utile sia per le aziende con un'infrastruttura critica che per quelle senza. I consigli sono applicabili in entrambi i casi.
Che cos'è un falso positivo?
Il falso positivo è un rilevamento errato di un file o di un sito Web pulito come infetto o di un comportamento dannoso da parte delle applicazioni Kaspersky. In caso di falso positivo, un file può essere eliminato, un processo può essere interrotto e alcune azioni del software possono essere bloccate. In un'infrastruttura critica, ciò può portare a conseguenze indesiderate.
Perché si verificano i falsi positivi?
La protezione contro il software dannoso è un'attività complessa che implica una combinazione di tecnologie basate sulla classificazione e sul comportamento degli oggetti per determinare un codice o un'attività dannosi.
A causa dell'elevato numero di software dannosi, non vengono utilizzati solo metodi "point" selettivi (ad esempio, il confronto di hashsum) ma anche euristici, nonché tecnologie di somiglianza, metodi di machine learning e altro. Di conseguenza, non è possibile garantire la completa assenza di errate classificazioni e falsi positivi, tuttavia i rischi che si verifichino possono essere notevolmente ridotti.
Kaspersky migliora costantemente i metodi e le tecnologie di rilevamento del malware. Ogni aggiornamento dei nostri database anti-virus e delle nostre tecnologie di protezione viene testato su vaste raccolte di file e modelli di attività legittimi (puliti). I nostri database software legittimi contengono dati su oltre 6 miliardi di oggetti. Applichiamo le tecnologie di calcolo della popolarità degli oggetti, reputazione di file e firme digitali, metodi di machine learning e altro. La nostra efficienza nella protezione dalle minacce contro i falsi rilevamenti è regolarmente confermata da ricerche indipendenti.
Tuttavia, la probabilità di falsi positivi non può essere completamente eliminata, motivo per cui ti consigliamo di seguire diverse regole che ridurranno i rischi per la tua azienda.
Come evitare falsi positivi e relative conseguenze indesiderate
Per ridurre i rischi dei falsi rilevamenti delle soluzioni Kaspersky in un'infrastruttura critica, utilizza i seguenti consigli:
- Invia i file tramite il programma Allowlist per garantirne l'inclusione nel database dei software legittimi prima di utilizzarli nell'infrastruttura. La partecipazione al programma è gratuita.
- Firma il software proprietario (privato) con firma digitale per ridurre al minimo i falsi positivi nelle nuove versioni in futuro.
- Utilizza Kaspersky Security Network o Kaspersky Private Security Network nelle applicazioni Kaspersky.
- Testa in anticipo il funzionamento di un nuovo software e delle ultime versioni del software già in uso nell'infrastruttura, con le applicazioni Kaspersky in un numero limitato di dispositivi prima della distribuzione all'intera infrastruttura.
- Utilizza un meccanismo di eccezione nelle applicazioni Kaspersky per le versioni incompatibili del software.
- Contatta l'assistenza tecnica in caso di falsi positivi o se rilevi un'incompatibilità del software utilizzato con le applicazioni Kaspersky. A tale scopo, crea una richiesta in CompanyAccount e fornisci tutte le informazioni necessarie per risolvere il problema.
- Descrizione del problema
- Esempio di software che causa il problema
- File di traccia raccolti al momento del comportamento errato di un'applicazione Kaspersky in relazione al software utilizzato nell'infrastruttura.