¿Cómo PAN-DB se aprende que se ha reparado un sitio web previamente malicioso o comprometido?

• Palo Alto Networks Firewall
• Licencia URL de filtrado válida PAN-DB

No re-rastreamos activamente los sitios de malware para ver si se han vuelto benignos. Esto es cierto tanto para el legado, así como para los sitios de malware recién descubiertos. En esencia, siempre confíe en un usuario que informa manualmente los sitios como limpios para que corrijamos nuestra categorización.

Un par de razones:

• El rastreador puede ir a un sitio en este momento y observar contenido malicioso. Vuelve de nuevo y solo observa contenido benigno. El rastreador puede ir al sitio desde una fuente diferente IP y obtener contenido malicioso, etc.  Sobre la base de esta intermitencia potencial en la detección, si volvimos activamente, categorizaríamos incorrectamente un sitio de malware como benigno.
• La intermitencia no siempre es 50/50 ya que a veces puede ir a un sitio 10 veces y sólo 1 de esas veces observar contenido malicioso, las otras 9 veces pueden observar contenido benigno (o altamente sospechoso). El malware también puede estar dirigido a geolocalizaciones y/o puntos finales muy específicos para que pudiéramos ver resultados incoherentes.

Cuando WildFire sea el origen de la categorización, tendremos todo tipo de comprobaciones de falsos positivos. Vemos un montón de paquetes maliciosos que comprobarán google.com, ntp.gov,etc y no los marcamos como malware (usamos la lista blanca).