Windows Defender или платформата за защита от злонамерен софтуер на Microsoft защитават домашни компютри, сървъри и онлайн услуги като Office 365. С богатството от разузнаване на заплахи и телеметрични данни, облачният бекенд на Defender е удивителна услуга за защита от злонамерен софтуер.
Когато нов злонамерен софтуер се появи в природата, може да отнеме часове за екипа на Microsoft за борба с злонамерен софтуер (или друг антивирусен или анти-зловреден софтуер компания по този въпрос) да анализира, да извърши обратно инженерство и да извърши детонация на файла със злонамерен софтуер, преди да може да освободи подпис актуализиране. И да не говорим за QC, през който трябва да премине актуализацията на подписа.
Що се отнася до защитата от злонамерен софтуер, не може да се отрече фактът, че защитата, базирана на подписи, е първостепенна. Но това не е достатъчно, тъй като може да не винаги помага - особено в случай на чисто нов или неизвестен зловреден софтуер. Според доклада на Microsoft, когато се появи нов зловреден софтуер, 30% от компютрите са заразени през първите четири часа. Актуализациите на подписите обикновено идват часове по-късно.
От друга страна, стабилната облачна защита на Windows Defender използва евристика, модел на машинно обучение и прави подробен анализ в бекенда, за да определи дали даден файл е злонамерен софтуер.
Защитата в облак на Windows Defender или функцията „блокиране от пръв поглед“ е активирана по подразбиране. Ако сте изключили опцията за облачна защита в Windows Defender поради съображения за „поверителност“, по-добре гледайте демонстрацията на инженерния екип на Windows Defender, която показва колко ефективна може да бъде защитата в облака.
Уверете се, че облачната защита „Блокиране от пръв поглед“ е активирана
Щракнете върху Старт, Настройки. (Или натиснете WinKey + i)
В страницата с настройки щракнете върху Актуализация и защита и след това върху Windows Defender.
Уверете се, че Облачно базирана защита и Автоматично подаване на проба настройките са активирани.
Когато облачната защита на Windows Defender „Блокиране от пръв поглед“ и опциите за подаване на проби са активирани в настройките на Windows Defender, ако системата срещне подозрителен файл, който иначе преминава откриване въз основа на сигнатури, Defender изпраща метаданните на подозрителния файл в облака бекенд. Имайте предвид, че облакът не винаги изисква целия файл.
Машините в облачния бекенд анализират метаданните, като използват различни логики, репутация на URL адреси и телеметрични данни, за да определят дали файлът е злонамерен софтуер.
Например, ако името на файла на зловреден софтуер съвпада с името на основен модул на Windows, облачният бекенд проверява цифровия подпис на модула. Ако е неподписан или не подписан от Microsoft и неговата „класификация“ е злонамерен софтуер (с ниво на „увереност“ 85%), тогава облакът определя, че файлът е зловреден софтуер.
Оценките на „Класификация“ и „доверие“, които съставляват най-важната част от бекенд анализа, се получават чрез модела на машинно обучение.
В случай, че облачният бекенд излезе без присъда, той изисква целия файл за подробен анализ. Докато файлът не бъде качен и облакът потвърди получаването на същото, Windows Defender заключва файла и не позволява да се изпълнява на клиента. Това е ключова промяна, която екипът на Windows Defender направи в Windows 10 Anniversary Update (v1607).
Преди това подозрителният файл беше разрешен да се изпълнява, докато качването беше в ход, синхронно. Дори преди да завърши качването, зловредният софтуер щеше да приключи работата си и да се самоунищожи.
Стигайки до демонстрацията на екипа на Windows Defender Engineering, бяха обсъдени два сценария. В сценарий 1 облачният бекенд класифицира файл като злонамерен софтуер само въз основа на метаданните. Устройство №1 с изключена облачна защита, се заразява при стартиране на файла. И устройство №2 с включена облачна защита е незабавно защитено.
В сценарий 2 първият потребител стартира неизвестен зловреден софтуер. Облакът не стигна до присъда въз основа на метаданните и по този начин целият файл беше изпратен автоматично.
Времето за подаване беше в 19:48:59 часа – бекенда завърши автоматизирания анализ в 19:49:01 часа (~2 секунди от момента, в който качването достигна облачния бекенд) и определи, че файлът е злонамерен софтуер.
От самия момент Windows Defender ще блокира всякакви бъдещи срещи на този файл, като по този начин ще защити милиони други устройства, които имат активирана защита, базирана на Windows Defender.
Microsoft също има тестов сайт на име Тестово поле на Windows Defender където можете да проверите ефективността на облачната защита на Defender, като качите мостри.
Въпреки че втората демонстрация не успя поради някои проблеми със свързаността с облака, като цяло е полезна презентация, която обяснява важността на облачната защита на Windows Defender „блокиране от пръв поглед“. отличителен белег. Ако сте изключили функцията, предполагам, че сега ще се замислите.
Референции и кредити
Активирайте функцията Блокиране от пръв поглед, за да откриете злонамерен софтуер в рамките на секунди
Разгледайте незабавната защита на Windows Defender | Microsoft Ignite 2016 | Канал 9
Една малка молба: Ако тази публикация ви е харесала, моля, споделете я?
Едно "малко" споделяне от вас сериозно би помогнало много за развитието на този блог. Някои страхотни предложения:- Закачете го!
- Споделете го с любимия си блог + Facebook, Reddit
- Twitter го!