关于微步云沙箱一起溯源误判事件的声明
现将整个事件过程及我们的反思分享如下:
4月13日17时15分,微步在线云沙箱上线测试自动化溯源模块。
4月13日晚,云沙箱收到一例用户提交的样本文件,并将其自动判定为“疑似启明攻击队ZPY的CS木马HTTP通信”。
检测效果如下图(溯源归因出现误判):
4月14日上午11时27分,我们发现自动溯源功能的部分检测逻辑存在瑕疵,将该功能下线。该功能在线时间约18小时。
4月19日下午,微步分析师和产品团队修复了自动溯源模块的归因错误,并重新上线该功能。
经过此次事件,我们认识到特殊时期沙箱的自动化溯源虽然提升了效率,但也应像生产情报一样严谨、可靠、低误报。自动化溯源还有很长的路要走。对我们来说,这次误报将成为宝贵的经验,我们会不断更新优化相关算法和规则。
您的每一次使用和每一点建议,都将成为云沙箱的珍贵养分,帮助它茁壮成长,反哺安全社区,为网络安全行业做出贡献。
在此,再一次对广大用户和启明致以真诚的歉意。
本文始发于微信公众号(安全威胁情报):关于微步云沙箱一起溯源误判事件的声明
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论