Comment PAN-DB apprend-on qu’un site Web précédemment malveillant ou compromis a été assaini ?

• Palo Alto Networks Firewall
• Licence URL de filtrage PAN-DB valide

Nous n’avons pas activement re-ramper les sites de logiciels malveillants pour voir si elles sont allés bénigne. Cela est vrai à la fois pour l’héritage ainsi que pour les sites de logiciels malveillants nouvellement découverts. Essentiellement, ne comptez toujours sur un utilisateur de rapports manuels sites aussi propre pour nous d’assainir notre catégorisation.

Deux raisons :

• Le crawler peut aller sur un site dès maintenant et observer le contenu malveillant. Revenez en arrière et n’observez que le contenu bénin. Le crawler peut alors aller sur le site à partir d’une source différente IP et obtenir du contenu malveillant, etc.  Sur la base de cette intermittence potentielle dans la détection, si nous y retourions activement, nous catégoriserions incorrectement un site de logiciels malveillants comme bénin.
• L’intermittence n’est pas toujours 50/50 car elle peut parfois aller sur un site 10 fois et seulement 1 de ces fois observer du contenu malveillant, les 9 autres fois peuvent observer des contenus bénins (ou hautement suspects). Les logiciels malveillants peuvent également être ciblés sur des géolocalisations et/ou des points de terminaison très spécifiques afin que nous puissions voir des résultats incohérents.

Quand WildFire est la source de la catégorisation, nous aurons toutes sortes de contrôles faux positifs. Nous voyons beaucoup de paquets malveillants qui vont vérifier google.com, ntp.gov, etc et nous ne les marqueons pas comme des logiciels malveillants (nous utilisons la liste blanche).