Blog

De kosten van valse positieven - hoe wij een doelwit werden

Deze week identificeerden we een intrigerende use case met betrekking tot de WP3[.]XYZ-aanval (link naar onze blogpost). Het wekte interesse in de hele community en leidde tot betere detectiepercentages op platforms zoals VirusTotal (VirusTotal link). Hoewel de meesten onze inspanningen waardeerden, bekritiseerden anderen ons omdat we de hoofdoorzaak niet identificeerden of diensten aanbevalen om gehackte websites op te schonen. Desondanks willen we de community bewust maken van potentiële aanvallen en beloven we het in de toekomst nog beter te doen. Wanneer vals

Jan 17, 2025 • 5 min read

Himanshu Anand Software Engineer

Deze week identificeerden we een intrigerende use case met betrekking tot de WP3[.]XYZ-aanval (link naar onze blogpost). Het wekte interesse in de hele community en leidde tot betere detectiepercentages op platforms zoals VirusTotal (VirusTotal link).

VirusTotal-pagina met de detectiedekking voor het domein wp3.xyz

Hoewel de meesten onze inspanningen waardeerden, bekritiseerden anderen ons omdat we de hoofdoorzaak niet identificeerden of diensten aanbevalen om gehackte websites op te schonen. Desondanks willen we de community bewust maken van potentiële aanvallen en beloven we het in de toekomst nog beter te doen.

Wanneer valse positieven dichtbij komen

Na publicatie van de blog gebeurde er iets onverwachts: onze hoofdwebsite, cside.com, werd gemarkeerd als verdacht. Dit incident is significant omdat het benadrukt hoe een eenvoudig vals positief niet alleen technische workflows kan verstoren, maar ook de reputatie en operaties van een bedrijf.

Browserwaarschuwing markeert cside.dev als verdacht door een vals-positief

Voor technische lezers onderstreept het het belang van nauwkeurige detectieregels, terwijl het voor niet-technische lezers aantoont hoe dergelijke problemen kunnen escaleren en vertrouwen en bedrijfscontinuïteit kunnen beïnvloeden.

Natuurlijk werden we verrast en begonnen we onmiddellijk met onderzoek.

Bij nader onderzoek leek het erop dat enkele luie detectieregels het probleem mogelijk hadden veroorzaakt.

Ik heb meer dan vier jaar in endpoint security gewerkt voordat ik overstapte naar een SOC (Security Operations Center) analistenrol. Deze ervaring gaf me directe inzichten in de uitdagingen van het beheren van waarschuwingen en detecties—een onderwerp dat nauw verbonden is met de werkelijke kosten van valse positieven.

Als iemand die detectieregels heeft geschreven, begrijp ik de verleiding om shortcuts te nemen. Vroeg in mijn carrière maakte ik vergelijkbare fouten. Met ervaring leerde ik het verschil tussen goede en slechte regels en het belang van het benutten van de juiste technologieën voor het schrijven van regels. Dit is waarom de meeste beveiligingsleveranciers meerdere engines gebruiken om verschillende soorten aanvallen effectief aan te pakken.

In dit geval leek het probleem voort te komen uit twee factoren:

Het WP3[.]XYZ-subdomein: We gebruiken een dienst om korte beschrijvingen van domeinen te genereren met behulp van interne gegevens en AI (Domain Insights). Hoewel de beschrijvingen bedoeld zijn om nuttige context te bieden, zijn ze niet bedoeld voor detectiedoeleinden.
Verkeerde interpretatie door AV-leveranciers: Sommige antivirusleveranciers markeerden de domeinnaam simpelweg omdat deze in onze URL verscheen. Dit soort detectie, uitsluitend gebaseerd op de URL-structuur, mist context en kan leiden tot onnodige verstoringen.

Om de community te helpen, deelden we de volledige code in onze blog zodat andere bedrijven hun detecties konden verbeteren. Het markeren van een domein dat kwaadaardige payloads levert zonder de juiste context is echter een problematische praktijk. We hebben dit probleem in detail behandeld in een andere blogpost (Are Threat Feeds Still Good in 2024?).

De werkelijke kosten van valse positieven

Valse positieven lijken op het eerste gezicht misschien onbeduidend, maar hun impact kan diepgaand zijn:

Operationele verstoring: Zelfs een vals positief percentage van 1:100.000 kan ernstige gevolgen hebben als het kritieke transacties verstoort. Stel je bijvoorbeeld voor dat een betaalgateway tijdens een piekseizoen voor winkelen ten onrechte wordt gemarkeerd. Dit zou duizenden legitieme transacties kunnen blokkeren, wat resulteert in gefrustreerde klanten, verloren inkomsten en mogelijke schade aan de reputatie van het bedrijf.
SOC-analist vermoeidheid: Valse positieven kunnen duizenden uren verspillen terwijl analisten proberen niet-problemen te triëren en onderzoeken. Deze vermoeidheid kan ertoe leiden dat echte positieven (TPs) onopgemerkt blijven.
Bedrijfsimpact: Dit is de meest zorgwekkende consequentie, omdat het de hele operatie van een bedrijf in gevaar kan brengen.

Laten we dieper ingaan op punt drie.

Bij cside zijn we een kleine, jonge startup, en onze reis is gevoed door passie en een verlangen om zinvol bij te dragen aan de cybersecurity community. Als beveiligingsproducten onze website echter als kwaadaardig markeren, zou dit alles waar we voor hebben gewerkt in gevaar kunnen brengen.

Ik herinner me de aanvankelijke paniek bij het zien van de detectie—het ging niet alleen om het oplossen van een probleem, maar om het beschermen van het vertrouwen dat we bij onze klanten hebben opgebouwd. De tijd en energie die besteed wordt aan het aanpakken van dergelijke problemen zou de operaties aanzienlijk kunnen verstoren, vooral voor kleine bedrijven zoals het onze. Terwijl grote bedrijven dergelijke uitdagingen misschien kunnen doorstaan, zou het voor kleinere organisaties rampzalig kunnen zijn.

Waarom het belangrijk is

De werkelijke kosten van valse positieven gaan verder dan technische uitdagingen. Het beïnvloedt bedrijven, klanten en levensonderhoud. Degenen die de gevolgen uit de eerste hand hebben ervaren, weten hoe diep het pijn doet.

Onze toewijding bij cside

Bij cside geloven we sterk in een nul valse positieven beleid.

We streven ernaar om:

Alles wat we weten open en transparant met de community te delen.
Onze eigen producten te gebruiken om nauwkeurigheid en betrouwbaarheid te waarborgen.
De impact van valse positieven te minimaliseren terwijl we onze detectiecapaciteiten verbeteren.

We begrijpen de kosten van zowel valse positieven als cyberaanvallen, en daarom zijn we toegewijd aan voortdurende verbetering en samenwerking met de bredere community.

Als u vragen of suggesties heeft, neem gerust contact op. We staan altijd open voor feedback om onze inspanningen nog beter te maken.

Software Engineer Himanshu Anand

I'm a software engineer and security analyst.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Toen ons eigen cside.dev-domein als verdacht werd gemarkeerd, schoot het aantal supportverzoeken omhoog, daalden aanmeldingen en twijfelden partners of ze nog met ons door wilden. De dollarkosten zijn lastig te meten, maar de vertrouwensschade is direct en duurt langer dan de melding zelf.

Stem regels af op een baseline van bekend-goed gedrag, geef bij elke melding context en laat analisten correcties terugvoeden in het model. Zo blijft recall hoog en gaat precisie omhoog — precies wat cside doet voor client-side detecties.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

GDPR en online gokken: waarom niet-geautoriseerde pixels een dubbel aansprakelijkheidsprobleem creëren

Niet-geautoriseerde pixels op goksites creëren tegelijk GDPR-aansprakelijkheid en opschorting van advertentieaccounts, ook zonder installatie.

Hoe Bytespider te Blokkeren (TikToks AI-Crawler)

Bytespider crawlt uw site voor de AI-systemen van Bytedance. Leer hoe u het blokkeert met robots.txt en IP-bereiken, en de belangrijkste zorgen rond datasoevereiniteit.

Donkere blogomslag met drie methoden van kwaadaardige casinoscripts: browsergestuurde omleidingen, shadow GTM-containers met malafide tags en geo-gerichte mobiele payloads

Hoe kwaadaardige scripts de spelersreis in casino's kapen

Geïnjecteerde scripts leiden casinospelers om voor de lobby. Netwerkhulpmiddelen missen ze. Zo moet detectie werken.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over scriptbeveiliging voor gokoperators in APAC

Client-side scriptbeveiliging voor online gokoperators in APAC

Hoe APAC online gokoperators in Japan, Singapore, de Filipijnen en Australië scripts van derden monitoren via echte spelersessies.

Hoe Amazon Buy for Me op Uw Website te Blokkeren

Amazon Buy for Me winkelt voor Prime-gebruikers op uw site. Leer hoe het prijs- en productgegevens verzamelt en hoe detectie in de browserlaag u controle geeft.

Account takeover voorkomen: het complete playbook voor 2026

Het ATO-operationele playbook voor 2026: een end-to-end model voor login, herstel, sessie en post-auth verdediging tegen overnames door AI-agents en bots.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over gecompromitteerde affiliatescripts die casino-omzet stelen

Hoe gecompromitteerde affiliate scripts online casino-inkomsten stelen

Gecompromitteerde affiliate scripts leiden spelers om en stelen commissies op casinopagina's, onzichtbaar en op grote schaal.

Donkere blogomslag met drie aanvalsvectoren van browser extensions: omleidingen naar phishing-klonen, diefstal van sessietokens en herschrijving van betalingsvelden op DOM-niveau

Hoe browser extensions online casinospelers aanvallen: wat operators kunnen doen

Browser extensions kunnen sessietokens stelen en betalingen kapen op casinosites. Zo werken ze, waarom servers het missen en hoe u ze detecteert.

Hoe Door AI Aangedreven Aanmaak van Nepaccounts te Blokkeren

AI-agenten maken nepaccounts aan met mensachtig gedrag dat CAPTCHA verslaat. Leer de browserlaag-signalen die geautomatiseerde registraties onthullen.

Hoe CCBot (de AI-Crawler van Common Crawl) te Blokkeren

CCBot voedt de Common Crawl-datasets die worden gebruikt om GPT-3, BLOOM, LLaMA en veel andere AI-modellen te trainen. Leer hoe u het blokkeert en wat blokkeren daadwerkelijk doet.