Kako funkcionira značajka zaštite u oblaku "Blokiranje na prvi pogled" u Windows Defenderu?

Windows Defender ili Microsoftova platforma protiv zlonamjernog softvera štiti kućna računala, poslužitelje i mrežne usluge kao što je Office 365. Uz bogatstvo podataka o obavještavanju o prijetnjama i telemetriji, Defenderov cloud backend je zadivljujuća usluga zaštite od zlonamjernog softvera.

branič blok na prvi pogled

Kada se novi zlonamjerni softver pojavi u divljini, Microsoftov tim za borbu protiv zlonamjernog softvera (ili bilo koji drugi antivirusni ili anti-malware) može potrajati satima tvrtka u tom slučaju) analizirati, obrnuti inženjering i izvršiti detonaciju zlonamjernog softvera datoteke prije nego što može objaviti potpis ažuriranje. I, da ne spominjemo QC kroz koji ažuriranje potpisa mora proći.

Što se tiče zaštite od zlonamjernog softvera, ne može se poreći činjenica da je zaštita temeljena na potpisu primarna. Ali to nije dovoljno, jer možda neće uvijek pomoći - osobito u slučaju potpuno novog ili nepoznatog zlonamjernog softvera. Prema Microsoftovom izvješću kada se pojavi novi zlonamjerni softver, 30% računala je zaraženo unutar prva četiri sata. Ažuriranja potpisa obično dolaze satima kasnije.

branič blok na prvi pogled

S druge strane, robusna zaštita temeljena na oblaku Windows Defendera koristi heuristiku, model strojnog učenja i provodi detaljnu analizu na pozadini kako bi utvrdila je li datoteka zlonamjerni softver.

Zaštita u oblaku Windows Defender ili značajka "blokiranja na prvi pogled" prema zadanim je postavkama omogućena. Ako ste isključili opciju zaštite u oblaku u Windows Defenderu zbog zabrinutosti za "privatnost", bolje je pogledajte demo tima Windows Defender Engineering, koji pokazuje koliko učinkovita može biti zaštita oblaka.

Provjerite je li omogućena zaštita oblaka "Blokiraj na prvi pogled".

Kliknite Start, Settings. (Ili pritisnite WinKey + i)

Na stranici Postavke kliknite Ažuriranje i sigurnost, a zatim Windows Defender.

Uvjerite se u to Zaštita temeljena na oblaku i Automatsko slanje uzorka postavke su omogućene.

zaštita oblaka branitelja

Kada su u postavkama Windows Defendera omogućene „Blokiranje na prvi pogled“ zaštita oblaka i opcije slanja uzorka, ako sustav naiđe na sumnjivu datoteku koja inače prolazi detekciju temeljenu na potpisu, Defender šalje metapodatke sumnjive datoteke u oblak pozadina. Imajte na umu da oblak ne zahtijeva uvijek cijelu datoteku.

Strojevi u pozadinskom dijelu oblaka analiziraju metapodatke, koristeći različite logike, URL reputaciju i podatke telemetrije kako bi utvrdili je li datoteka zlonamjerni softver.

Na primjer, ako naziv datoteke zlonamjernog softvera odgovara nazivu jezgrenog Windows modula, pozadinski dio oblaka provjerava digitalni potpis modula. Ako je nepotpisana ili nije potpisana od strane Microsofta, a njezina je "klasifikacija" zlonamjerni softver (s razinom "pouzdanja" 85%), tada oblak utvrđuje da je datoteka zlonamjerni softver.

zaštita oblaka branitelja

Procjene “Klasifikacije” i “pouzdanja” koje čine najvažniji dio pozadinske analize dobivaju se kroz model strojnog učenja.

U slučaju da backend oblaka ne donese presudu, traži cijelu datoteku za detaljnu analizu. Dok se datoteka ne učita i oblak potvrdi primitak iste, Windows Defender zaključava datoteku i ne dopušta pokretanje na klijentu. To je ključna promjena koju je tim za Windows Defender napravio u Windows 10 Anniversary Update (v1607).

Prije je bilo dopušteno da se sumnjiva datoteka izvodi sinkrono dok je prijenos bio u tijeku. Čak i prije nego što je učitavanje završeno, zlonamjerni softver bi završio rad i sam se uništio.

Dolazeći do demo tima Windows Defender Engineeringa, raspravljalo se o dva scenarija. U scenariju 1, pozadina oblaka klasificira datoteku kao zlonamjerni softver samo na temelju metapodataka. Uređaj #1 s isključenom zaštitom oblaka, zarazi se prilikom pokretanja datoteke. A uređaj #2 s uključenom zaštitom u oblaku trenutačno je zaštićen.

U scenariju 2, prvi korisnik pokreće nepoznati zlonamjerni softver. Oblak nije donio presudu na temelju metapodataka, pa je cijela datoteka automatski poslana.

Vrijeme slanja bilo je u 19:48:59 sati – backend je dovršio automatiziranu analizu u 19:49:01 sati (~2 sekunde od trenutka kada je prijenos došao u pozadinu oblaka) i utvrdio da je datoteka zlonamjerni softver.

Od samog trenutka, Windows Defender bi blokirao sve buduće susrete te datoteke, čime bi zaštitio milijune drugih uređaja koji imaju omogućenu zaštitu u oblaku Windows Defender.

Microsoft također ima testno mjesto pod nazivom Windows Defender Testground gdje možete provjeriti učinkovitost Defenderove zaštite oblaka učitavanjem uzoraka.

Iako drugi demo nije uspio zbog nekih problema s povezivanjem s oblakom, općenito je koristan prezentaciju koja objašnjava važnost zaštite u oblaku „blokiranja na prvi pogled“ Windows Defendera značajka. Da ste isključili tu značajku, pretpostavljam da ćete se sada razmisliti.

Reference i zasluge

Omogućite značajku Blokiraj na prvi pogled za otkrivanje zlonamjernog softvera u roku od nekoliko sekundi
Istražite trenutnu zaštitu Windows Defendera | Microsoft Ignite 2016 | Kanal 9


Jedna mala molba: Ako vam se svidio ovaj post, podijelite ovo?

Jedan tvoj "sitni" share bi ozbiljno pomogao u razvoju ovog bloga. Nekoliko sjajnih prijedloga:
  • Prikvačiti!
  • Podijelite ga na svom omiljenom blogu + Facebooku, Redditu
  • Tweetajte!
Zato ti puno hvala na podršci, moj čitatelju. Neće vam trebati više od 10 sekundi vremena. Gumbi za dijeljenje nalaze se odmah ispod. :)