Microsoft deler måder, hvorpå softwareleverandører kan minimere falske positiver
5 min. Læs
Udgivet den
Del denne artikel
Forbedre denne vejledning
Læs vores oplysningsside for at finde ud af, hvordan du kan hjælpe MSPoweruser med at opretholde redaktionen Læs mere
Microsoft har delt et blogindlæg, som fortæller om Windows Defender ATP og de falske positive. Virksomheden delte arbejdet med ATP, og hvordan den betegner en fil som mistænkelig. Når det er sagt, fejler selv de bedste systemer til tider, og Microsoft erkendte det samme.
Virksomheden kastede lys over den falske positive problemstilling, som dybest set betyder at mærke en ægte software/program som en virus. Normalt udgør dette et sikkerhedsproblem, da folk ikke ved, om de kan stole på en software, efter at den er blevet markeret af antivirussen. Microsoft sagde, at de har udarbejdet en liste, som kan følges af leverandører for at sikre, at de ikke er markeret som falske positiver. Microsoft bemærkede også, at den bedste måde at undgå falske positiver på er at udgive apps i Microsoft Store, da den scanner for vira eller malware, før den udgiver appen for brugerne.
At undgå falske positiver er en tovejsvej mellem sikkerhedsleverandører og udviklere. Udgivelse af apps til Microsoft Store er den bedste måde for leverandører og udviklere at sikre, at deres programmer ikke er forkert klassificeret. For kunder er apps fra Microsoft Store betroede og Microsoft-verificerede.
Den første metode til at forhindre en falsk positiv er at sikre, at softwaren er digitalt signeret. Dette vil gøre det muligt for antivirusprogrammet at identificere udgiveren, og det vil derfor ikke blive markeret som en falsk positiv.
Ved at bekræfte softwareudgiverens identitet sikrer en signatur kunderne, at de ved, hvem der har leveret den software, de installerer eller kører. Digitale signaturer forsikrer også kunderne om, at den software, de modtog, er i samme stand, som da udgiveren underskrev den, og der ikke er blevet manipuleret med softwaren.
Microsoft talte også om Extended Validation (EV) kodesignering, som er en avanceret version af det digitale certifikat. Dette sikrer, at antivirus- eller sikkerhedsprogrammet ved, at softwaren ikke er manipuleret og udgives af en kendt udgiver.
Extended validation (EV)-kodesignering er en mere avanceret version af digitale certifikater og kræver en mere streng kontrol- og autentificeringsproces. Denne proces kræver en mere omfattende identitetsbekræftelse og autentificeringsproces for hver udvikler. EV-kodesigneringscertifikaterne kræver brug af hardware til at signere applikationer. Dette hardwarekrav er en yderligere beskyttelse mod tyveri eller utilsigtet brug af kodesigneringscertifikater. Programmer, der er signeret af et EV-kodesigneringscertifikat, kan straks etablere omdømme med Windows Defender ATP, selvom der ikke eksisterer noget tidligere omdømme for den pågældende fil eller udgiver.
Dernæst talte Microsoft om de digitale signaturers omdømme. Når udviklere signerer filerne, gør de det for al software og deres aktiver. Men hvis en af disse filer er markeret som en malware, vil den give en dårlig vurdering til alle filer med samme signatur. For at forhindre dette anbefaler Microsoft, at udviklere underskriver filer omhyggeligt og bevarer et godt omdømme.
For at få et positivt omdømme på flere programmer og filer signerer udviklere filer med et digitalt certifikat med positivt omdømme. Men hvis en af filerne får et dårligt omdømme (f.eks. opdaget som malware), eller hvis certifikatet blev stjålet og brugt til at signere malware, så vil alle de filer, der er signeret med det pågældende certifikat, arve det dårlige omdømme.
Vi råder derfor udviklere til ikke at dele certifikater mellem programmer eller andre udviklere. Dette råd gælder især for programmer, der inkorporerer bundling eller bruger annoncering eller freemium-modeller for indtægtsgenerering.
Fremadrettet Microsoft kaster lys over vigtigheden af gennemsigtighed. Antivirusalgoritmen fungerer ved at identificere mistænkelig adfærd som brug af vildledende softwarenavne og utraditionelle installationssteder. Denne adfærd vil udløse algoritmen, og softwaren vil blive markeret som en malware.
En anden falsk positiv trigger er brugen af filer eller software med dårligt ry i en anden software. For eksempel, hvis en software installerer yderligere ressourcer eller filer, som kan have et dårligt omdømme, vil hele softwaren blive markeret af antivirus og vil udløse en falsk positiv.
En anden indikator, der kan påvirke en fils omdømme, er de andre programmer, filen er forbundet med. Denne association kan komme fra, hvad programmet installerer, hvad der er installeret samtidig med programmet, eller hvad der ses på de samme maskiner som filen. Ikke alle disse tilknytninger fører direkte til detektioner, men hvis et program installerer andre programmer eller filer, der har et dårligt omdømme, får det pågældende program et dårligt omdømme.
Udover at følge disse metoder, detaljerede Microsoft også påvisningskriterierne. Du kan gå nedenunder for at se det.
- Ondsindet software: Udfører ondsindede handlinger på en computer
- Uønsket software: Udviser adfærd som adware, browsermodifikator, vildledende, overvågningsværktøj eller softwarebundter
- Potentielt uønsket applikation (PUA): Udviser adfærd, der forringer Windows-oplevelsen
- Rens: Vi stoler på, at filen ikke er skadelig, ikke er upassende for et virksomhedsmiljø og ikke forringer Windows-oplevelsen
Endelig, hvis en udvikler følger de anførte metoder og stadig bliver markeret af Windows Defender, kan de indsende en rapport via Windows Defender Security Intelligence portalen.
Kilde: microsoft
