Bagaimana Fitur Perlindungan Cloud Windows Defender “Block at First Sight” bekerja?

Windows Defender atau platform anti-malware Microsoft melindungi komputer rumah, server, dan layanan online seperti Office 365. Dengan kekayaan data intelijen dan telemetri ancaman, backend cloud Defender adalah layanan perlindungan malware yang luar biasa.

blok bek pada pandangan pertama

Saat malware baru muncul di alam liar, diperlukan waktu berjam-jam untuk tim anti-malware Microsoft (atau anti-virus atau anti-malware lainnya perusahaan dalam hal ini) untuk menganalisis, merekayasa balik, dan melakukan peledakan malware pada file sebelum dapat merilis tanda tangan memperbarui. Dan, belum lagi QC pembaruan tanda tangan harus melewati.

Sejauh menyangkut perlindungan malware, tidak dapat disangkal fakta bahwa perlindungan berbasis tanda tangan adalah yang utama. Tapi itu tidak cukup, karena mungkin tidak selalu membantu — terutama dalam kasus malware baru atau tidak dikenal. Sesuai laporan Microsoft ketika malware baru muncul, 30% komputer terinfeksi dalam empat jam pertama. Pembaruan tanda tangan biasanya datang beberapa jam kemudian.

blok bek pada pandangan pertama

Perlindungan berbasis cloud Windows Defender yang kuat, di sisi lain, menggunakan heuristik, model pembelajaran mesin, dan melakukan analisis terperinci di bagian belakang untuk menentukan apakah suatu file adalah malware.

Perlindungan berbasis cloud Windows Defender atau fitur "blokir pada pandangan pertama" secara default diaktifkan. Jika Anda telah mematikan opsi perlindungan cloud di Windows Defender karena masalah "privasi", Anda sebaiknya tonton demo oleh tim Windows Defender Engineering, yang menunjukkan betapa efektifnya perlindungan cloud.

Pastikan Perlindungan Cloud "Blokir pada Pandangan Pertama" diaktifkan

Klik Mulai, Pengaturan. (Atau tekan WinKey + i)

Di halaman Pengaturan, klik Perbarui & Keamanan lalu Windows Defender.

Pastikan bahwa Perlindungan berbasis cloud dan Pengiriman sampel otomatis pengaturan diaktifkan.

perlindungan awan bek

Ketika opsi perlindungan cloud "Block at first sight" Windows Defender dan pengiriman sampel diaktifkan di Pengaturan Windows Defender, jika sistem menemukan file mencurigakan yang melewati deteksi berbasis tanda tangan, Defender mengirimkan metadata file yang mencurigakan ke cloud bagian belakang. Perhatikan bahwa cloud tidak selalu meminta seluruh file.

Mesin di backend cloud menganalisis metadata, memanfaatkan berbagai logika, reputasi URL, dan data telemetri untuk menentukan apakah file tersebut adalah malware.

Misalnya, jika nama file malware cocok dengan nama modul inti Windows, backend cloud akan memeriksa tanda tangan digital modul. Jika tidak ditandatangani atau tidak ditandatangani oleh Microsoft, dan "klasifikasi"-nya adalah malware (dengan tingkat "keyakinan" 85%), maka cloud menentukan file tersebut adalah malware.

perlindungan awan bek

Penilaian “Klasifikasi” dan “keyakinan” yang merupakan bagian terpenting dari analisis backend, diperoleh melalui model pembelajaran mesin.

Jika backend cloud muncul tanpa keputusan, ia meminta seluruh file untuk analisis terperinci. Sampai file diunggah dan cloud mengonfirmasi penerimaan yang sama, Windows Defender mengunci file dan tidak mengizinkan untuk berjalan di klien. Itu adalah perubahan utama yang dibuat oleh tim Windows Defender di Pembaruan Ulang Tahun Windows 10 (v1607).

Sebelumnya, file yang mencurigakan diizinkan untuk berjalan saat unggahan sedang berlangsung, secara sinkron. Bahkan sebelum pengunggahan selesai, malware akan selesai berjalan dan menghancurkan dirinya sendiri.

Datang ke demo tim Windows Defender Engineering, ada dua skenario yang dibahas. Dalam Skenario 1, backend cloud mengklasifikasikan file sebagai malware, hanya berdasarkan metadata. Perangkat #1 dengan perlindungan cloud dimatikan, terinfeksi saat menjalankan file. Dan perangkat #2 dengan perlindungan cloud Aktif, langsung terlindungi.

Dalam Skenario 2, pengguna pertama menjalankan malware yang tidak dikenal. Cloud tidak mencapai keputusan berdasarkan metadata, dan dengan demikian seluruh file dikirimkan secara otomatis.

Waktu pengiriman adalah pada jam 19:48:59 – backend menyelesaikan analisis otomatis pada jam 19:49:01 (~2 detik sejak unggahan mencapai backend cloud) dan menentukan bahwa file tersebut adalah malware.

Sejak saat itu, Windows Defender akan memblokir setiap pertemuan di masa mendatang dari file itu, sehingga melindungi jutaan perangkat lain yang mengaktifkan perlindungan berbasis cloud Windows Defender.

Microsoft juga memiliki situs pengujian bernama Tempat Pengujian Windows Defender di mana Anda dapat memeriksa efektivitas perlindungan cloud Defender dengan mengunggah sampel.

Meskipun demo kedua tidak berhasil karena beberapa masalah konektivitas dengan cloud, secara keseluruhan ini berguna presentasi yang menjelaskan pentingnya perlindungan berbasis cloud “block at first sight” Windows Defender fitur. Jika Anda telah mematikan fitur tersebut, saya kira Anda sekarang akan berpikir dua kali.

Referensi & Kredit

Aktifkan fitur Block at First Sight untuk mendeteksi malware dalam hitungan detik
Jelajahi Perlindungan Instan Windows Defender | Microsoft Ignite 2016 | Saluran 9


Satu permintaan kecil: Jika Anda menyukai posting ini, silakan bagikan ini?

Satu share "kecil" dari Anda akan sangat membantu perkembangan blog ini. Beberapa saran bagus:
  • Sematkan!
  • Bagikan ke blog favorit Anda + Facebook, Reddit
  • Tweet itu!
Jadi terima kasih banyak atas dukungan Anda, pembaca saya. Ini tidak akan memakan waktu lebih dari 10 detik dari waktu Anda. Tombol bagikan ada tepat di bawah. :)