Microsoft Defender 近期的「誤判事件」讓我們再次看到,過度依賴自動化安全系統,可能導致管理者在未經查證下做出錯誤決策。這起事件中,Defender 錯誤將仍在支援期內的 SQL Server 標註為停止支援版本,雖然微軟已迅速修復,但它揭露了一個更深層的議題——當防禦系統變得越「聰明」,我們是否也失去了質疑它的能力?
近期,微軟的旗艦資安平台 Microsoft Defender for Endpoint 再度登上資安圈討論熱點——原因不是新的攻擊手法,而是誤報(False Positive)事件。這次的受害者,是仍在主動支援期內的 SQL Server 2017 與 2019。
根據微軟官方服務通報與 BleepingComputer 的報導,Defender 近期在其 Threat and Vulnerability Management(威脅與弱點管理) 模組中,錯誤地將 SQL Server 標示為「End-of-Life(停止支援)」版本。
但事實上,SQL Server 2019 的支援期至 2030 年 1 月,而 SQL Server 2017 則延續到 2027 年 10 月——距離「退役」還有整整兩年。
問題根源:程式碼變更引發的誤判
微軟在後續公告中指出,問題源自於近期在「終止支援軟體判定邏輯」上的程式碼變更。這段變更意外導致 Defender 錯誤標記了部分 SQL Server 版本,使管理者在主控台上誤以為系統已不受支援。
微軟工程團隊已迅速推送修補更新,並表示將持續部署修正,逐步回溯導致誤報的程式碼異動。
雖然此次事件被列為「Advisory(通告級事件)」——意即影響範圍有限,但這起事件仍再度提醒我們:
在自動化防禦系統日益普及的時代,『誤報』本身已成為一種新的資安風險。
從資安專家的角度來看:「False Positive」不只是小事
許多企業導入 EDR/XDR 時,往往將焦點放在「漏報(False Negative)」,擔心系統沒抓到真正的威脅。然而,「誤報(False Positive)」的風險同樣不容忽視——特別是在 企業營運核心系統(如 SQL Server) 被誤判的情況下,可能導致以下後果:
- 誤觸安全政策:IT 團隊可能誤以為系統已過期,進行不必要的升級或更動。
- 威脅分析失準:Defender 的風險分數與優先修補建議可能因此失真,影響 SOC 判斷。
- 浪費維運時間:安全團隊需額外花時間確認「是假警報還是真問題」,降低整體效率。
微軟近期的誤報事件接連發生
事實上,這已不是 Defender 首次出現誤報:
- 上週,微軟才修正了一起將 Dell 裝置 BIOS 韌體誤判為「過期」 的問題。
- 9 月底,Defender 也曾因蘋果企業安全框架的死鎖問題,導致 macOS 裝置出現黑畫面崩潰。
- 更早前,Microsoft 甚至在其 防垃圾郵件服務 中誤封鎖 Exchange Online 與 Teams 的 URL 開啟功能,造成使用者信任危機。
這些事件共同揭示出一個趨勢:
資安防禦系統越智慧、整合越全面,其背後的複雜度與連鎖效應也在同步上升。
專家建議:如何降低「誤報」帶來的營運風險
- 建立二次驗證流程:在關鍵資產標示為高風險或停止支援時,應要求人工複核。
- 整合多重情資來源:不要完全依賴單一資安平台的判定,善用 cross-validation(交叉驗證)。
- 維護「誤報知識庫」:記錄曾發生過的誤報事件與處理方式,作為後續自動化修正的依據。
- 主動追蹤供應商公告:像此次 SQL Server 誤報事件,若能及早掌握官方資訊,可避免誤動作或錯誤通報。
結語:自動化 ≠ 絕對可靠
微軟的 Defender 系列確實是企業防禦體系的重要一環,但這次事件再次提醒我們——
「自動化防禦」不是萬靈丹,人工智慧同樣需要人類智慧來監督。
在資安防線日益複雜的今日,保持警覺、建立多層驗證機制,才是讓防禦系統真正「防而不誤」的關鍵。