誤検知の対策について
広告
Trojanさん
(No.1)
例えばの話なのですが、ある日社内で使用しているツールを使用していたときにセキュリティソフトからトロイの木馬だと誤検知された場合の対応や対策はどのようにするべきなのでしょうか?
考えられる対応が
①検知された驚異に対して許可する設定を行う
②検知されている原因と思われるコードを修正して、修正後検知されないことを確認する
③セキュリティメーカーに検体?の提出を行いトロイの木馬でないことを証明する
調べたところ③はなかなか当てにならないようですが実務で対応されたことがある方がいらっしゃったら教えていただきたいです。
考えられる対応が
①検知された驚異に対して許可する設定を行う
②検知されている原因と思われるコードを修正して、修正後検知されないことを確認する
③セキュリティメーカーに検体?の提出を行いトロイの木馬でないことを証明する
調べたところ③はなかなか当てにならないようですが実務で対応されたことがある方がいらっしゃったら教えていただきたいです。
2024.03.12 20:06
橙色文書さん
(No.2)
セキュリティソフトというものがマルウェア対策ソフトであれば、ホワイトリストに誤検知されたファイルを追加していました。
そのファイルがウイルス感染してもノーチェックになる恐れもありますが、マクロウイルスを除く昔ながらのウイルスは珍しいでしょうから。
そのファイルがウイルス感染してもノーチェックになる恐れもありますが、マクロウイルスを除く昔ながらのウイルスは珍しいでしょうから。
2024.03.12 21:08
orangekameさん
(No.3)
私もマルウェア対策ソフトという前提で・・・
1.ツールに問題がないことを確認した後、ホワイトリスト登録を行います。
※直前のアップデート有無や、情報漏洩につながらないようなファイルであればVirusTotalなでチェックすることもあります。
2.マルウェア対策ソフトベンダーに、検体を提出しご検知の対応を行います。
3.パターンファイルを更新することで改善することもありますのでこちらも試します。
このあたりの対応をおこなっています。
2、3で改善された場合は、1のホワイトリストから削除しておきます。
ホワイトリストを残しておくと、その部分がマルウェア感染しても検知しなくなってしまうため必須と思います。
ご参考になれば。
1.ツールに問題がないことを確認した後、ホワイトリスト登録を行います。
※直前のアップデート有無や、情報漏洩につながらないようなファイルであればVirusTotalなでチェックすることもあります。
2.マルウェア対策ソフトベンダーに、検体を提出しご検知の対応を行います。
3.パターンファイルを更新することで改善することもありますのでこちらも試します。
このあたりの対応をおこなっています。
2、3で改善された場合は、1のホワイトリストから削除しておきます。
ホワイトリストを残しておくと、その部分がマルウェア感染しても検知しなくなってしまうため必須と思います。
ご参考になれば。
2024.03.13 10:20
Trojanさん
(No.4)
皆様方、ご回答いただきありがとうございました。
いざ誤検知となった場合にどうすればよいのかあまり試験で問われたことがなかったので勉強になりました。
いざ誤検知となった場合にどうすればよいのかあまり試験で問われたことがなかったので勉強になりました。
2024.03.13 19:54
橙色文書さん
(No.5)
余談ですが、アンチマルウェア機能を中核としたソフトウェアをベンダーが「セキュリティソフト」と称するのは大げさです。
ソフト面でのコンピューターセキュリティの9割以上はOSが実現していると私は考えています。
ソフト面でのコンピューターセキュリティの9割以上はOSが実現していると私は考えています。
2024.03.14 20:31
広告
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
広告