【密好過疏?】Microsoft Defender頻傳安全誤報 Google Chrome更新被標籤可疑活動
盡快更新任何軟硬件系統,是其中一種最佳網絡安全做法,不過如更新過程經常觸發安全警報,對網安人員來說肯定不會受落。頻頻觸發安全誤報的 Microsoft Defender for Endpoint,於昨日美國黃昏時段又將 Google Chrome 系統更新當賊扮,收工時段先收到誤報,你叫網安人員情何以堪?
Microsoft 近年不停加強旗下網絡安全工具 Microsoft Defender for Endpoint 功能,包括持續偵測可疑 app、強化反釣魚電郵偵測等等,對用家來說本應是好消息,不過如果安全系統的分析不夠準確或過於敏感,便會為網絡安全人員的惡夢。以去年 12 月為例,當時 Adobe 的 Log4j 漏洞成為業界關心焦點,不知 Microsoft 方面是否為了加強相關漏洞的偵測功能,因而產生大量安全誤報;其後因木馬軟件 Emotet 有死火復燃跡象,Microsoft 方面又可能加大了偵測力度,終於又製作出大量安全警報恐慌,而被標注為可疑活動的目標,竟然是屬於 Microsoft 的正常 Office 檔案……
而這次被好人當賊扮的主角就輪到 Google Chrome 系統更新,據指在美國時間昨日黃昏,Microsoft Defender for Endpoint 突然發出安全警報,指出 Chrome 的更新活動有可疑,更將活動標注為「Multi-stage incident involving Execution & Defence evasion」類別,可能因為近來黑客集團經常採用階段式植入惡意軟件方式,因而 Microsoft 方面在加強相關偵測敏感度後,才會導致今次事件發生。
在事件發生後,有企業的系統管理員陸續將誤報放上 twitter,吸引到 Microsoft 方面注意,結果在一個半小時內已將問題解決。官方指已更新了 Defender for Endpoint 的相關邏輯分析條件,因此不會再將 Google Chrome 更新視為惡意活動。相比起其他安全偵測軟件,Microsoft Defender for Endpoint 發生誤報的機率似乎高得多,要客戶完全相信它的準確度,相信 Microsoft 要加大力度改善。
相關文章:【監管漏洞】Microsoft Defender豁免清單 安全掃描死角現形
https://www.wepro180.com/defender220216/
