כיצד פועלת תכונת הגנת הענן של Windows Defender "חסום ממבט ראשון"?

Windows Defender או פלטפורמת Microsoft נגד תוכנות זדוניות מגנים על מחשבים ביתיים, שרתים ושירותים מקוונים כגון Office 365. עם השפע של מודיעין איומים ונתוני טלמטריה, ה-backend של Defender בענן הוא שירות מדהים להגנת תוכנות זדוניות.

כשתוכנה זדונית חדשה מופיעה בטבע, זה יכול לקחת שעות לצוות נגד תוכנות זדוניות של מיקרוסופט (או כל אנטי וירוס או אנטי תוכנה זדונית אחרת) החברה לצורך העניין) לנתח, לבצע הנדסה לאחור ולבצע פיצוץ תוכנה זדונית של הקובץ לפני שהוא יכול לשחרר חתימה עדכון. ושלא לדבר על ה-QC, עדכון החתימה צריך לעבור.

בכל הנוגע להגנה מפני תוכנות זדוניות, אין להכחיש את העובדה שהגנה מבוססת חתימות היא עיקרית. אבל זה לא מספיק, מכיוון שזה לא תמיד עוזר - במיוחד במקרה של תוכנות זדוניות חדשות או לא ידועות. לפי הדיווח של מיקרוסופט כאשר מופיעה תוכנה זדונית חדשה, 30% מהמחשבים נגועים בארבע השעות הראשונות. עדכוני החתימה מגיעים בדרך כלל שעות לאחר מכן.

ההגנה החזקה מבוססת ענן של Windows Defender, לעומת זאת, משתמשת בהיוריסטיקה, במודל למידת מכונה, ועושה ניתוח מפורט בקצה העורפי כדי לקבוע אם קובץ הוא תוכנה זדונית.

הגנה מבוססת ענן של Windows Defender או תכונת "חסימה ממבט ראשון" מופעלת כברירת מחדל. אם כיבית את אפשרות ההגנה בענן ב-Windows Defender בגלל חששות "פרטיות", עדיף לך צפו בהדגמה של צוות הנדסת Windows Defender, שמראה עד כמה הגנת ענן יכולה להיות יעילה.

ודא שהגנת ענן "חסום ממבט ראשון" מופעלת

לחץ על התחל, הגדרות. (או הקש WinKey + i)

בדף ההגדרות, לחץ על עדכון ואבטחה ולאחר מכן על Windows Defender.

תוודא ש הגנה מבוססת ענן ו הגשת דוגמא אוטומטית ההגדרות מופעלות.

כאשר "חסום ממבט ראשון" של הגנת ענן ואפשרויות הגשת דוגמאות של Windows Defender מופעלות בהגדרות Windows Defender, אם המערכת נתקל בקובץ חשוד שאחרת עובר זיהוי מבוסס חתימה, Defender שולח את המטא נתונים של הקובץ החשוד לענן אחורי. שימו לב שהענן לא תמיד מבקש את כל הקובץ.

המכונות בקצה האחורי של הענן מנתחים את המטא נתונים, תוך שימוש בלוגיקה השונות, מוניטין כתובת האתר ונתוני הטלמטריה כדי לקבוע אם הקובץ הוא תוכנה זדונית.

לדוגמה, אם שם קובץ התוכנה הזדונית תואם לשם של מודול ליבה של Windows, הקצה האחורי של הענן בודק את החתימה הדיגיטלית של המודול. אם זה לא חתום או לא חתום על ידי Microsoft, וה"סיווג" הוא תוכנה זדונית (עם רמת "ביטחון" 85%), אז הענן קובע שהקובץ הוא תוכנה זדונית.

הערכות ה"סיווג" וה"ביטחון" המהוות את החלק החשוב ביותר בניתוח הקצה האחורי, מתקבלות באמצעות מודל למידת המכונה.

במקרה שה-backend של הענן לא מגיע ללא פסק דין, הוא מבקש את כל הקובץ לניתוח מפורט. עד שהקובץ יועלה והענן יאשר את קבלתו, Windows Defender נועל את הקובץ ולא מאפשר לרוץ על הלקוח. זהו שינוי מרכזי שצוות Windows Defender ביצע בעדכון יום השנה של Windows 10 (v1607).

בעבר, הקובץ החשוד הורשה לפעול בזמן ההעלאה, באופן סינכרוני. עוד לפני השלמת ההעלאה, התוכנה הזדונית הייתה מסיימת לפעול ומשמידה את עצמה.

בהגיעו להדגמה של צוות הנדסת Windows Defender, נדונו שני תרחישים. בתרחיש 1, ה-backend של הענן מסווג קובץ כתוכנה זדונית, רק על סמך המטא נתונים. מכשיר מס' 1 עם הגנת ענן כבויה, נדבק בעת הפעלת הקובץ. ומכשיר מס' 2 עם הגנת ענן פועלת, מוגן באופן מיידי.

בתרחיש 2, המשתמש הראשון מריץ תוכנה זדונית לא ידועה. הענן לא הגיע לשום פסק דין על סמך המטא נתונים, וכך כל הקובץ הוגש אוטומטית.

זמן ההגשה היה בשעה 19:48:59 שעות - הקצה האחורי השלים את הניתוח האוטומטי בשעה 19:49:01 שעות (~2 שניות מרגע שההעלאה הגיעה לקצה העורפי של הענן) וקבע שהקובץ הוא תוכנה זדונית.

מהרגע הזה, Windows Defender יחסום כל מפגש עתידי של הקובץ הזה, ובכך יגן על מיליוני מכשירים אחרים שבהם מופעלת הגנה מבוססת ענן של Windows Defender.

למיקרוסופט יש גם אתר בדיקה בשם מגרש הבדיקה של Windows Defender שבו אתה יכול לבדוק את היעילות של הגנת הענן של Defender על ידי העלאת דוגמאות.

למרות שההדגמה השנייה לא הצליחה בגלל בעיות קישוריות עם הענן, בסך הכל זה שימושי מצגת שמסבירה את חשיבות ההגנה מבוססת ענן "חסום ממבט ראשון" של Windows Defender תכונה. אם כיבית את התכונה, אני מניח שעכשיו תהיה לך מחשבה שנייה.

הפניות וקרדיטים

אפשר את התכונה חסום ממבט ראשון כדי לזהות תוכנות זדוניות בתוך שניות
חקור את Windows Defender הגנה מיידית | Microsoft Ignite 2016 | ערוץ 9