Windows Defender nebo antimalwarová platforma společnosti Microsoft chrání domácí počítače, servery a online služby, jako je Office 365. S množstvím informací o hrozbách a telemetrických dat je cloudový backend Defenderu úžasnou službou ochrany před malwarem.
Když se nový malware objeví ve volné přírodě, může to trvat hodiny, než tým Microsoft pro boj proti malwaru (nebo jakýkoli jiný antivirový nebo antimalwarový společnost) analyzovat, zpětně analyzovat a provést malwarovou detonaci souboru předtím, než může uvolnit podpis Aktualizace. A nemluvě o kontrole kvality, kterou musí aktualizace podpisu projít.
Pokud jde o ochranu proti malwaru, nelze popřít fakt, že ochrana založená na signaturách je prvořadá. To však nestačí, protože to nemusí vždy pomoci – zejména v případě zcela nového nebo neznámého malwaru. Podle zprávy společnosti Microsoft, když se objeví nový malware, 30 % počítačů je infikováno během prvních čtyř hodin. Aktualizace podpisů obvykle přicházejí o hodiny později.
Robustní cloudová ochrana Windows Defenderu na druhé straně využívá heuristiku, model strojového učení a provádí podrobnou analýzu na backendu, aby zjistila, zda je soubor malware.
Cloudová ochrana Windows Defender nebo funkce „blokování na první pohled“ je ve výchozím nastavení povolena. Pokud jste v programu Windows Defender vypnuli možnost cloudové ochrany kvůli obavám o „soukromí“, raději podívejte se na ukázku týmu Windows Defender Engineering, která ukazuje, jak účinná může být cloudová ochrana.
Ujistěte se, že je povolena cloudová ochrana „Blokovat na první pohled“.
Klikněte na Start, Nastavení. (Nebo stiskněte WinKey + i)
Na stránce Nastavení klikněte na Aktualizace a zabezpečení a poté na Windows Defender.
Ujistit se, že Cloudová ochrana a Automatické odeslání vzorku nastavení jsou povolena.
Když je v nastavení Windows Defender povolena cloudová ochrana programu Windows Defender „Blokovat na první pohled“ a možnosti odesílání vzorků, pokud systém narazí na podezřelý soubor, který jinak projde detekcí založenou na signaturách, Defender odešle metadata podezřelého souboru do cloudu backend. Všimněte si, že cloud ne vždy vyžaduje celý soubor.
Počítače v cloudovém backendu analyzují metadata a využívají různé logiky, reputaci URL a telemetrická data k určení, zda je soubor malware.
Pokud se například název souboru malwaru shoduje s názvem základního modulu Windows, cloudový backend zkontroluje digitální podpis modulu. Pokud je nepodepsaný nebo nepodepsaný společností Microsoft a jeho „klasifikace“ je malware (s úrovní „důvěry“ 85 %), pak cloud určí, že se jedná o malware.
Hodnocení „klasifikace“ a „důvěry“, které tvoří nejdůležitější část backendové analýzy, se získávají pomocí modelu strojového učení.
V případě, že cloudový backend nepřijde s žádným verdiktem, vyžádá si celý soubor k podrobné analýze. Dokud není soubor nahrán a cloud nepotvrdí jeho přijetí, Windows Defender soubor uzamkne a nedovolí spuštění na klientovi. To je klíčová změna, kterou tým Windows Defender provedl v aktualizaci Windows 10 Anniversary Update (v1607).
Dříve bylo povoleno, aby se podezřelý soubor spouštěl během nahrávání synchronně. Ještě před dokončením nahrávání by malware skončil a sám se zničil.
V ukázce týmu Windows Defender Engineering se diskutovalo o dvou scénářích. Ve scénáři 1 cloudový backend klasifikuje soubor jako malware pouze na základě metadat. Zařízení #1 s vypnutou cloudovou ochranou se infikuje při spuštění souboru. A zařízení #2 se zapnutou cloudovou ochranou je okamžitě chráněno.
Ve scénáři 2 první uživatel spustí neznámý malware. Cloud nedospěl k žádnému verdiktu na základě metadat, a tak byl celý soubor automaticky odeslán.
Čas odeslání byl v 19:48:59 hodin – backend dokončil automatickou analýzu v 19:49:01 hodin (přibližně 2 sekundy od okamžiku, kdy nahrání narazilo do cloudového backendu) a určil, že soubor je malware.
Od okamžiku, kdy Windows Defender zablokuje všechna budoucí setkání s tímto souborem, chrání tak miliony dalších zařízení, která mají povolenou cloudovou ochranu Windows Defender.
Microsoft má také testovací web s názvem Testovací prostředí programu Windows Defender kde si můžete nahráním vzorků ověřit účinnost cloudové ochrany Defenderu.
Ačkoli druhé demo neuspělo kvůli problémům s připojením ke cloudu, celkově je užitečné prezentace, která vysvětluje důležitost cloudové ochrany „blok na první pohled“ programu Windows Defender Vlastnosti. Pokud jste tuto funkci vypnuli, myslím, že vás teď napadne druhá myšlenka.
Reference & Credits
Povolte funkci Blokovat na první pohled, abyste detekovali malware během několika sekund
Prozkoumejte Windows Defender Instant Protection | Microsoft Ignite 2016 | Kanál 9
Jedna malá prosba: Pokud se vám tento příspěvek líbil, sdílejte jej prosím?
Jedno "drobné" sdílení od vás by vážně hodně pomohlo růstu tohoto blogu. Některé skvělé návrhy:- Připnout!
- Sdílejte to na svůj oblíbený blog + Facebook, Reddit
- Tweetujte!