Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Czy można wyeliminować zło konieczne?

Aleksiej Malanow
Dodany 30 września 2015, 08:35 CEST
Tagi:

Wynik skanowania obiektu (pliku lub zasobu sieciowego) przy użyciu programu bezpieczeństwa internetowego zasadniczo sprowadza się do podjęcia decyzji binarnej: niebezpieczny lub bezpieczny. Silnik antywirusowy wysuwa hipotezę, że obiekt jest szkodliwy, a następnie sprawdza, czy jest ona słuszna czy nie. Ponieważ nie istnieją niestety idealne rozwiązania antywirusowe, zdarzają się błędy. Występują dwa rodzaje błędów: pierwszy polega na zidentyfikowaniu bezpiecznych obiektów jako groźnych, drugi – na uznaniu, że niebezpieczne obiekty nie stanowią zagrożenia. Zgodnie z terminologią pochodzącą ze statystyki matematycznej, błędy pierwszego rodzaju określane są jako fałszywe trafienia lub fałszywe alarmy.       

Twórcy systemów bezpieczeństwa stosują różne podejścia do fałszywych alarmów. Niektórzy uważają, że wyższy priorytet ma zwalczanie infekcji. Stanowisko firmy Kaspersky Lab w tej sprawie jest wyraźne: zapobieganie fałszywym alarmom jest równie ważne jak ochrona przed szkodliwym oprogramowaniem. W dalszej części przyjrzymy się metodom przeciwdziałania fałszywym alarmom na przykładzie naszych rozwiązań. 

Fałszywy alarm

Fałszywy alarm rozwiązania bezpieczeństwa oznacza dla użytkowników, że nie można uzyskać dostępu do zasobu sieciowego lub korzystać z bezpiecznego programu. Niezależnie od tego, jak ważny jest określony plik lub strona internetowa, fałszywe trafienie zawsze stanowi niedogodność, która może doprowadzić do zakłócenia procesów biznesowych lub po prostu przeszkodzić w pracy czy zabawie.

Jeśli program, który niedawno został napisany przez użytkownika, zostanie błędnie zidentyfikowany jako niebezpieczny, jego autor wyśle skargę do producenta rozwiązań antywirusowych, analitycy rozpoznają błąd i poprawią go podczas następnej aktualizacji antywirusowych baz danych. Zwykle trwa to kilka godzin – pod warunkiem, naturalnie, że ten nowy program nie robi nic poza tym, co jest dozwolone dla legalnych aplikacji.

Zupełnie inna sytuacja występuje wtedy, gdy jako szkodliwy zostaje zidentyfikowany komponent systemu operacyjnego. Może to doprowadzić do znacznie poważniejszych konsekwencji, czasami tak poważnych jak awaria systemu. Jeśli ten rodzaj fałszywego alarmu dotknie dużą firmę, spowoduje przestój w jej działaniu, a w efekcie utratę zysków. Dlatego uważamy, że firmy, które tworzą systemy bezpieczeństwa, powinny być bardzo ostrożne, jeśli chodzi o ten rodzaj błędów, i powinny minimalizować ich liczbę.