Windows Defender 또는 Microsoft 맬웨어 방지 플랫폼은 가정용 컴퓨터, 서버 및 Office 365와 같은 온라인 서비스를 보호합니다. 풍부한 위협 인텔리전스 및 원격 측정 데이터를 갖춘 Defender의 클라우드 백엔드는 놀라운 맬웨어 방지 서비스입니다.
새로운 맬웨어가 야생에 나타나면 Microsoft 맬웨어 방지 팀(또는 기타 바이러스 백신 또는 맬웨어 방지 해당 문제에 대한 회사) 서명을 릴리스하기 전에 파일을 분석, 리버스 엔지니어링 및 맬웨어 폭발을 수행합니다. 업데이트. 그리고 QC는 말할 것도 없이 서명 업데이트를 통과해야 합니다.
맬웨어 보호에 관한 한 서명 기반 보호가 가장 중요하다는 사실을 부인할 수 없습니다. 그러나 항상 도움이 되지는 않을 수 있으므로 충분하지 않습니다. 특히 새롭거나 알려지지 않은 맬웨어의 경우에 그렇습니다. Microsoft의 보고서에 따르면 새로운 맬웨어가 나타날 때 컴퓨터의 30%가 처음 4시간 이내에 감염됩니다. 서명 업데이트는 일반적으로 몇 시간 후에 제공됩니다.
반면 Windows Defender의 강력한 클라우드 기반 보호는 휴리스틱, 기계 학습 모델을 사용하고 백엔드에서 세부 분석을 수행하여 파일이 맬웨어인지 확인합니다.
Windows Defender 클라우드 기반 보호 또는 "첫눈에 차단" 기능은 기본적으로 활성화되어 있습니다. "개인 정보" 문제로 인해 Windows Defender에서 클라우드 보호 옵션을 끈 경우 더 나은 클라우드 보호가 얼마나 효과적인지 보여주는 Windows Defender 엔지니어링 팀의 데모를 시청하세요.
"첫눈에 차단" 클라우드 보호가 활성화되어 있는지 확인하십시오
시작, 설정을 클릭합니다. (또는 WinKey + i 누르기)
설정 페이지에서 업데이트 및 보안을 클릭한 다음 Windows Defender를 클릭합니다.
확인 클라우드 기반 보호 그리고 자동 샘플 제출 설정이 활성화됩니다.
Windows Defender의 "첫눈에 차단" 클라우드 보호 및 샘플 제출 옵션이 Windows Defender 설정에서 활성화된 경우 시스템 그렇지 않으면 서명 기반 탐지를 통과하는 의심스러운 파일을 만나면 Defender가 의심스러운 파일의 메타데이터를 클라우드로 보냅니다. 백엔드. 클라우드가 항상 전체 파일을 요청하는 것은 아닙니다.
클라우드 백엔드의 시스템은 메타데이터를 분석하고 다양한 논리, URL 평판 및 원격 측정 데이터를 사용하여 파일이 맬웨어인지 확인합니다.
예를 들어 맬웨어 파일 이름이 핵심 Windows 모듈의 이름과 일치하는 경우 클라우드 백엔드는 모듈의 디지털 서명을 확인합니다. 서명되지 않았거나 Microsoft에서 서명하지 않았고 "분류"가 맬웨어인 경우("신뢰도" 수준 85%) 클라우드는 파일을 맬웨어로 판단합니다.
백엔드 분석의 가장 중요한 부분을 구성하는 "분류" 및 "신뢰도" 평가는 머신 러닝 모델을 통해 획득됩니다.
클라우드 백엔드에서 평결이 없을 경우 전체 파일에 대한 자세한 분석을 요청합니다. 파일이 업로드되고 클라우드에서 동일한 수신을 확인할 때까지 Windows Defender는 파일을 잠그고 클라이언트에서 실행할 수 없습니다. 이것이 Windows Defender 팀이 Windows 10 Anniversary Update(v1607)에서 수행한 주요 변경 사항입니다.
이전에는 업로드가 진행되는 동안 의심스러운 파일을 동기적으로 실행할 수 있었습니다. 업로드가 완료되기 전에도 멀웨어는 실행을 끝내고 자체적으로 파괴되었을 것입니다.
Windows Defender 엔지니어링 팀의 데모에서는 두 가지 시나리오에 대해 논의했습니다. 시나리오 1에서 클라우드 백엔드는 메타데이터만을 기반으로 파일을 맬웨어로 분류합니다. 클라우드 보호가 꺼진 장치 #1은 파일을 실행할 때 감염됩니다. 그리고 클라우드 보호가 켜진 장치 #2는 즉시 보호됩니다.
시나리오 2에서 첫 번째 사용자는 알 수 없는 맬웨어를 실행합니다. 클라우드는 메타 데이터를 기반으로 한 평결에 도달하지 않았으므로 전체 파일이 자동으로 제출되었습니다.
제출 시간은 19:48:59 시간이었습니다. 백엔드는 19:49:01 시간(업로드가 클라우드 백엔드에 도달한 시간부터 ~2초)에 자동화된 분석을 완료하고 파일이 맬웨어임을 확인했습니다.
바로 그 순간부터 Windows Defender는 해당 파일의 향후 발생을 차단하여 Windows Defender 클라우드 기반 보호가 활성화된 수백만 대의 다른 장치를 보호합니다.
Microsoft에는 다음과 같은 테스트 사이트도 있습니다. 윈도우 디펜더 테스트그라운드 샘플을 업로드하여 Defender의 클라우드 보호 효과를 확인할 수 있습니다.
두 번째 데모는 클라우드와의 일부 연결 문제로 인해 성공하지 못했지만 전반적으로 유용합니다. Windows Defender의 "첫눈에 차단" 클라우드 기반 보호의 중요성을 설명하는 프레젠테이션 특징. 기능을 껐다면 이제 다시 생각할 수 있을 것입니다.
참조 및 크레딧
첫눈에 차단 기능을 활성화하여 몇 초 안에 맬웨어를 탐지합니다.
Windows Defender Instant Protection 살펴보기 | 마이크로소프트 이그나이트 2016 | 채널 9
작은 요청 하나: 이 게시물이 마음에 들면 공유해 주세요.
귀하의 "작은" 공유 하나가 이 블로그의 성장에 많은 도움이 될 것입니다. 몇 가지 훌륭한 제안:- 그것을 핀!
- 좋아하는 블로그 + Facebook, Reddit에 공유
- 트윗해!