Windows Defender o la plataforma antimalware de Microsoft protege los equipos domésticos, los servidores y los servicios en línea como Office 365. Con la gran cantidad de inteligencia sobre amenazas y datos de telemetría, el backend en la nube de Defender es un asombroso servicio de protección contra malware.
Cuando aparece un nuevo malware en la naturaleza, el equipo antimalware de Microsoft (o cualquier otro software antivirus o antimalware) puede tardar horas empresa) para analizar, realizar ingeniería inversa y realizar la detonación de malware del archivo antes de que pueda liberar una firma actualizar. Y, sin mencionar el control de calidad, la actualización de la firma debe pasar.
En lo que respecta a la protección contra malware, no se puede negar el hecho de que la protección basada en firmas es primordial. Pero eso no es suficiente, ya que puede que no siempre ayude, especialmente en el caso de malware nuevo o desconocido. Según el informe de Microsoft, cuando aparece un nuevo malware, el 30% de las computadoras están infectadas dentro de las primeras cuatro horas. Las actualizaciones de firmas suelen llegar horas más tarde.
La sólida protección basada en la nube de Windows Defender, por otro lado, utiliza heurística, modelo de aprendizaje automático y realiza un análisis detallado en el backend para determinar si un archivo es malware.
La protección basada en la nube de Windows Defender o la función "bloquear a primera vista" está habilitada de forma predeterminada. Si ha desactivado la opción de protección en la nube en Windows Defender debido a problemas de "privacidad", es mejor Mire la demostración del equipo de ingeniería de Windows Defender, que muestra cuán efectiva puede ser la protección en la nube.
Asegúrese de que la protección en la nube "Bloquear a primera vista" esté habilitada
Haga clic en Inicio, Configuración. (O presione WinKey + i)
En la página Configuración, haga clic en Actualización y seguridad y luego en Windows Defender.
Asegúrate de eso Protección basada en la nube y Envío automático de muestras la configuración está habilitada.
Cuando la protección en la nube "Bloquear a primera vista" de Windows Defender y las opciones de envío de muestras están habilitadas en la configuración de Windows Defender, si el sistema encuentra un archivo sospechoso que de otro modo pasa la detección basada en firmas, Defender envía los metadatos del archivo sospechoso a la nube backend. Tenga en cuenta que la nube no siempre solicita el archivo completo.
Las máquinas en el backend de la nube analizan los metadatos, haciendo uso de las diversas lógicas, reputación de URL y datos de telemetría para determinar si el archivo es malware.
Por ejemplo, si el nombre del archivo de malware coincide con el nombre de un módulo central de Windows, el backend de la nube verifica la firma digital del módulo. Si no está firmado o no está firmado por Microsoft, y su "clasificación" es malware (con un nivel de "confianza" del 85%), la nube determina que el archivo es malware.
Las evaluaciones de “Clasificación” y “Confianza”, que constituyen la parte más importante del análisis backend, se obtienen a través del modelo de aprendizaje automático.
En caso de que el backend de la nube no tenga un veredicto, solicita todo el archivo para un análisis detallado. Hasta que se carga el archivo y la nube confirma la recepción del mismo, Windows Defender bloquea el archivo y no permite que se ejecute en el cliente. Ese es un cambio clave que el equipo de Windows Defender ha realizado en la Actualización de aniversario de Windows 10 (v1607).
Anteriormente, se permitía que el archivo sospechoso se ejecutara mientras la carga estaba en curso, de forma sincrónica. Incluso antes de que se completara la carga, el malware habría terminado de ejecutarse y se autodestruyó.
Al llegar a la demostración del equipo de ingeniería de Windows Defender, se discutieron dos escenarios. En el escenario 1, el backend de la nube clasifica un archivo como malware, solo en función de los metadatos. El dispositivo n. ° 1 con la protección en la nube desactivada se infecta al ejecutar el archivo. Y el dispositivo n. ° 2 con la protección en la nube activada se protege instantáneamente.
En el escenario 2, el primer usuario ejecuta un malware desconocido. La nube no alcanzó ningún veredicto basado en los metadatos y, por lo tanto, todo el archivo se envió automáticamente.
El tiempo de envío fue a las 19:48:59 horas; el backend completó el análisis automatizado a las 19:49:01 horas (~ 2 segundos desde el momento en que la carga llegó al backend de la nube) y determinó que el archivo es malware.
Desde el mismo momento, Windows Defender bloquearía cualquier encuentro futuro de ese archivo, protegiendo así millones de otros dispositivos que tienen habilitada la protección basada en la nube de Windows Defender.
Microsoft también tiene un sitio de prueba llamado Campo de pruebas de Windows Defender donde puede verificar la efectividad de la protección en la nube de Defender cargando muestras.
Aunque la segunda demostración no tuvo éxito debido a algunos problemas de conectividad con la nube, en general es útil presentación que explica la importancia de la protección basada en la nube de "bloqueo a primera vista" de Windows Defender característica. Si hubiera desactivado la función, supongo que ahora tendrá un segundo pensamiento.
Referencias y Créditos
Habilite la función Bloquear a primera vista para detectar malware en segundos
Explore la protección instantánea de Windows Defender | Microsoft Ignite 2016 | Canal 9
Una pequeña solicitud: si le gustó esta publicación, por favor comparta esto.
Una "pequeña" parte tuya seriamente ayudaría mucho con el crecimiento de este blog. Algunas buenas sugerencias:- Pin it!
- Compártelo en tu blog favorito + Facebook, Reddit
- ¡Tuitealo!