Windows Defender o la piattaforma antimalware Microsoft proteggono i computer di casa, i server e i servizi online come Office 365. Con la ricchezza di informazioni sulle minacce e dati di telemetria, il backend cloud di Defender è un sorprendente servizio di protezione dal malware.
Quando un nuovo malware appare in natura, possono volerci ore per il team antimalware di Microsoft (o qualsiasi altro antivirus o antimalware società se è per questo) per analizzare, decodificare ed eseguire la detonazione del malware del file prima che possa rilasciare una firma aggiornare. E, per non parlare del controllo di qualità che l'aggiornamento della firma deve passare.
Per quanto riguarda la protezione dal malware, non si può negare il fatto che la protezione basata sulle firme sia fondamentale. Ma questo non è sufficiente, in quanto potrebbe non essere sempre d'aiuto, specialmente nel caso di malware nuovo di zecca o sconosciuto. Secondo il rapporto di Microsoft, quando viene visualizzato un nuovo malware, il 30% dei computer viene infettato entro le prime quattro ore. Gli aggiornamenti delle firme di solito arrivano ore dopo.
La solida protezione basata su cloud di Windows Defender, d'altra parte, utilizza l'euristica, il modello di apprendimento automatico ed esegue un'analisi dettagliata nel back-end per determinare se un file è malware.
La protezione basata su cloud di Windows Defender o la funzione "blocco a prima vista" è abilitata per impostazione predefinita. Se hai disattivato l'opzione di protezione cloud in Windows Defender a causa di problemi di "privacy", è meglio guarda la demo del team di Windows Defender Engineering, che mostra quanto può essere efficace la protezione cloud.
Assicurati che la protezione cloud "Blocca a prima vista" sia abilitata
Fare clic su Start, Impostazioni. (Oppure premi WinKey + i)
Nella pagina Impostazioni, fai clic su Aggiornamento e sicurezza e quindi su Windows Defender.
Assicurati che Protezione basata su cloud e Invio automatico del campione le impostazioni sono abilitate.
Quando la protezione cloud "Blocca a prima vista" di Windows Defender e le opzioni di invio dei campioni sono abilitate nelle impostazioni di Windows Defender, se il sistema incontra un file sospetto che altrimenti passa il rilevamento basato sulla firma, Defender invia i metadati del file sospetto al cloud backend. Tieni presente che il cloud non richiede sempre l'intero file.
Le macchine nel backend cloud analizzano i metadati, utilizzando le varie logiche, la reputazione dell'URL e i dati di telemetria per determinare se il file è malware.
Ad esempio, se il nome del file del malware corrisponde al nome di un modulo principale di Windows, il backend cloud controlla la firma digitale del modulo. Se non è firmato o non è firmato da Microsoft e la sua "classificazione" è malware (con livello di "fiducia" 85%), il cloud determina che il file è malware.
Le valutazioni di “Classificazione” e di “confidenza” che costituiscono la parte più importante dell'analisi di backend, sono ottenute attraverso il modello di machine learning.
Nel caso in cui il backend cloud non emetta un verdetto, richiede l'intero file per un'analisi dettagliata. Fino a quando il file non viene caricato e il cloud non conferma la ricezione dello stesso, Windows Defender blocca il file e non consente l'esecuzione sul client. Questa è una modifica chiave che il team di Windows Defender ha apportato nell'aggiornamento dell'anniversario di Windows 10 (v1607).
In precedenza, il file sospetto poteva essere eseguito mentre il caricamento era in corso, in modo sincrono. Anche prima che il caricamento fosse completato, il malware avrebbe terminato l'esecuzione e si sarebbe autodistrutto.
Venendo alla demo del team di Windows Defender Engineering, sono stati discussi due scenari. Nello scenario 1, il backend cloud classifica un file come malware, solo in base ai metadati. Il dispositivo n. 1 con la protezione cloud disattivata viene infettato durante l'esecuzione del file. E il dispositivo n. 2 con protezione cloud attiva è protetto all'istante.
Nello scenario 2, il primo utente esegue un malware sconosciuto. Il cloud non ha ottenuto alcun verdetto in base ai metadati e quindi l'intero file è stato inviato automaticamente.
L'ora di invio era alle 19:48:59: il backend ha completato l'analisi automatizzata alle 19:49:01 (~2 secondi dal momento in cui il caricamento ha raggiunto il backend cloud) e ha determinato che il file è un malware.
Dal momento in cui Windows Defender bloccherebbe qualsiasi incontro futuro di quel file, proteggendo così milioni di altri dispositivi che hanno abilitato la protezione basata su cloud di Windows Defender.
Microsoft ha anche un sito di test chiamato Campo di prova di Windows Defender dove puoi verificare l'efficacia della protezione cloud di Defender caricando campioni.
Sebbene la seconda demo non abbia avuto successo a causa di alcuni problemi di connettività con il cloud, nel complesso è utile presentazione che spiega l'importanza della protezione basata su cloud "blocco a prima vista" di Windows Defender caratteristica. Se avessi disattivato la funzione, immagino che ora avrai un secondo pensiero.
Riferimenti e crediti
Abilita la funzione Blocca a prima vista per rilevare il malware in pochi secondi
Esplora la protezione istantanea di Windows Defender | Microsoft Ignite 2016 | Canale 9
Una piccola richiesta: se ti è piaciuto questo post, condividilo?
Una "piccola" condivisione da parte tua sarebbe di grande aiuto per la crescita di questo blog. Alcuni ottimi suggerimenti:- Fissalo!
- Condividilo sul tuo blog preferito + Facebook, Reddit
- Twittalo!