Qu'est-ce qu'une collision antivirus dans le cas d'un faux positif, et comment pouvons-nous y faire face?

La collision antivirus est un cas où une signature créée pour un fichier malveillant, ou une famille de logiciels malveillants, déclenche sur les autres fichiers bénins, non liés aux fichiers originaux pour lesquels la signature a été créée. Afin de comprendre un peu mieux, voici quelques informations de base:

D'où proviennent les signatures antivirus?

La base de données antivirus contient toutes les signatures de Wildfire qui ont été créées dans les 24 heures précédentes. Les signatures de Wildfire sont collectées à la fermeture des heures ouvrables chaque jour, emballées dans une base de données unique, et testées pour s'assurer qu'elles sont installables sur toutes nos plateformes. En bref, le paquet antivirus est une collection des dernières 24 heures de paquets Wildfire pour lequel nous avons effectué des contrôles avant de le distribuer.

Que sont les signatures antivirus?

Les signatures antivirus utilisées par le logiciel Palo Alto Networks sont une combinaison d'octets qui sont superposées sur le fichier pendant qu'il traverse le pare-feu. Si ces octets correspondent à l'ordre des octets dans le fichier mentionné, l'action prédéfinie dans les profils de protection antivirus est déclenchée.

Comme on le voit dans l'image ci-dessous, il existe deux types d'actions: action et action Wildfire; le premier est utilisé pour déterminer ce que l'action du pare-feu sera dans le cas où une signature est appariée à partir de la base de données Wildfire, et ce dernier, action, est utilisé pour déterminer l'action du pare-feu si une signature est appariée à partir de la base de données antivirus.

Une signature antivirus, dans la pratique, est une chaîne statique représentant une collection d'octets sélectionnés à partir d'un fichier malveillant. La sélection d'octets dépend d'un type de fichier; les signatures pour PE (exécutable portable) ne sont pas les mêmes que celles utilisées pour les types de fichiers PDF ou MS Office. Nous appelons cela une sélection statique, car les octets sont généralement pris à partir de la même position (même décalage) pour le même type de fichier.

Il existe des raisons évidentes de sélectionner des octets particuliers pour les signatures, par exemple en veillant à ce qu'aucun octet commun à tous les fichiers ne soit inclus dans la signature-dans ce cas, tous les fichiers déclencheraient toujours nos signatures. En outre, le choix d'octets particuliers est fait de sorte que les échantillons de malware polymorphe peuvent être capturés avec une seule signature, donc si un Malware change automatiquement des portions du fichier qu'il utilise, notre signature serait encore l'attraper.

Qu'est-ce qu'une collision?

Eh bien, comme mentionné, une signature est une chaîne statique représentant une collection d'octets sélectionnés à partir d'un fichier malveillant. Parfois, cette sélection peut se chevaucher avec l'ordre des octets dans un fichier Bénin. C'est ce que nous appelons une collision de signature. En fait, il y a peu d'occurrences; les pourcentages sont minimes compte tenu du nombre de fichiers que nous voyons quotidiennement et combien de signatures nous publions sur une base quotidienne/mensuelle/annuelle. Ils arrivent encore, malheureusement.

Comment faites-vous face aux collisions?

Pour certains types de fichiers, nous pouvons développer des signatures pour avoir une meilleure précision en superposant les octets de signature; Cela peut souvent résoudre les collisions. Lorsque cela n'est pas possible, nous faisons une décision instruite basée sur les occurrences du malware traversant les réseaux/pare-feu qui se rapportent à l' autofocus. Si nous n'avons pas vu que les logiciels malveillants récemment ou dernièrement, nous allons désactiver la signature en faveur du fichier Bénin pour lequel la signature déclenchée. Il s'agit d'une décision d'ingénierie; Nous sommes avantage de pondération pour les utilisateurs finaux-si le malware n'a pas été vu récemment, et le fichier Bénin est nécessaire pour la continuité des affaires, nous désactivions la signature en faveur du fichier Bénin.

Quand nous disons la continuité des affaires, ce n'est pas une ligne stricte que nous tirons ici, mais nous l'évaluons sur une base par cas--certains dossiers d'affaires échangés qualifient comme justifiés pour la continuité d'affaires. D'autre part, si le fichier en collision est, par exemple, certains Flash-based Video Game, nous pourrions garder notre signature malgré son avoir une collision sur le fichier Bénin. En outre, si les logiciels malveillants dont la signature que nous avons désactivé devrait redevenir actif, il est possible et probable que nous réactivions la signature indépendamment de la collision.

Une chose plus importante à noter: bien que fait dans de rares occasions, à la fois la désactivation et l'habilitation de la signature se fait sur une base par cas, où nos ingénieurs seniors évaluer l'importance de l'entreprise et la portée et le degré d'interruption à l'utilisateur final, en le comparant à les risques potentiels de la suppression d'une signature. Ces décisions ne sont pas forgées à la légère et sont faites avec le meilleur intérêt de tous nos utilisateurs à l'esprit. 

S'il vous plaît noter, si vous rencontrez un problème avec une signature réactivée, et vous voyez des problèmes de collision, mais la signature n'a pas (encore) été désactivé, consultez cet article pour créer une exception dans vos profils AV: https://Live.paloaltonetworks.com/T5 /Management-Articles/How-to-use-exceptions-to-Block-Threats/ta-p/66099