Windows Defender sau platforma Microsoft anti-malware protejează computerele de acasă, serverele și serviciile online, cum ar fi Office 365. Cu multitudinea de informații despre amenințări și date de telemetrie, backend-ul cloud al Defender este un serviciu uimitor de protecție împotriva malware-ului.
Când apare un nou malware în sălbăticie, echipa Microsoft anti-malware poate dura ore întregi (sau orice alt anti-virus sau anti-malware). de altfel) să analizeze, să efectueze inginerie inversă și să efectueze detonarea malware a fișierului înainte ca acesta să poată elibera o semnătură Actualizați. Și, ca să nu mai vorbim de QC, actualizarea semnăturii trebuie să treacă.
În ceea ce privește protecția împotriva programelor malware, nu se poate nega faptul că protecția bazată pe semnătură este primordială. Dar acest lucru nu este suficient, deoarece s-ar putea să nu ajute întotdeauna, mai ales în cazul unui program malware nou-nouț sau necunoscut. Conform raportului Microsoft, când apare un nou malware, 30% dintre computere sunt infectate în primele patru ore. Actualizările semnăturii vin de obicei câteva ore mai târziu.
Protecția robustă bazată pe cloud a Windows Defender, pe de altă parte, utilizează euristica, modelul de învățare automată și efectuează analize detaliate la nivelul backend-ului pentru a determina dacă un fișier este malware.
Protecția bazată pe cloud Windows Defender sau caracteristica „blocare la prima vedere” este activată implicit. Dacă ați dezactivat opțiunea de protecție în cloud în Windows Defender din cauza problemelor de „confidențialitate”, este mai bine Urmărește demo-ul echipei Windows Defender Engineering, care arată cât de eficientă poate fi protecția cloud.
Asigurați-vă că Protecția cloud „Blocați la prima vedere” este activată
Faceți clic pe Start, Setări. (Sau apăsați WinKey + i)
În pagina Setări, faceți clic pe Actualizare și securitate, apoi pe Windows Defender.
Asigura-te ca Protecție bazată pe cloud și Trimiterea automată a mostrelor setările sunt activate.
Când protecția în cloud a Windows Defender „Blocați la prima vedere” și opțiunile de trimitere a mostrelor sunt activate în Setările Windows Defender, dacă sistemul întâlnește un fișier suspect care, altfel, trece prin detectarea bazată pe semnătură, Defender trimite metadatele fișierului suspect în cloud backend. Rețineți că cloud-ul nu solicită întotdeauna întregul fișier.
Mașinile din backend-ul cloud analizează metadatele, utilizând diversele logici, reputația URL și datele de telemetrie pentru a determina dacă fișierul este malware.
De exemplu, dacă numele fișierului malware se potrivește cu numele unui modul principal Windows, backend-ul cloud verifică semnătura digitală a modulului. Dacă este nesemnat sau nu este semnat de Microsoft și „clasificarea” este malware (cu nivelul de „încredere” 85%), atunci cloud-ul determină că fișierul este malware.
Evaluările „Clasificare” și „încredere”, care constituie cea mai importantă parte a analizei backend, sunt obținute prin modelul de învățare automată.
În cazul în care backend-ul cloud nu vine cu niciun verdict, acesta solicită întregul fișier pentru o analiză detaliată. Până când fișierul este încărcat și cloud-ul confirmă primirea acestuia, Windows Defender blochează fișierul și nu permite să ruleze pe client. Aceasta este o schimbare esențială pe care echipa Windows Defender a făcut-o în actualizarea Windows 10 Anniversary (v1607).
Anterior, fișierul suspect a fost permis să ruleze în timp ce încărcarea era în curs, sincron. Chiar înainte de finalizarea încărcării, malware-ul s-ar fi terminat de rulat și s-ar fi autodistrus.
Venind la demonstrația echipei Windows Defender Engineering, au fost discutate două scenarii. În scenariul 1, backend-ul cloud clasifică un fișier ca malware, doar pe baza metadatelor. Dispozitivul #1 cu protecția cloud dezactivată, se infectează când rulează fișierul. Iar dispozitivul nr. 2 cu protecția cloud activată este protejat instantaneu.
În scenariul 2, primul utilizator rulează un malware necunoscut. Cloud-ul nu a ajuns la niciun verdict pe baza metadatelor și, astfel, întregul fișier a fost trimis automat.
Ora de trimitere a fost la 19:48:59 – backend-ul a finalizat analiza automată la 19:49:01 (~2 secunde de la momentul în care încărcarea a ajuns în backend-ul cloud) și a determinat că fișierul este malware.
Încă din momentul în care, Windows Defender ar bloca orice întâlnire viitoare a acelui fișier, protejând astfel milioane de alte dispozitive care au activată protecția bazată pe cloud Windows Defender.
Microsoft are, de asemenea, un site de testare numit Teren de testare Windows Defender unde puteți verifica eficacitatea protecției cloud a Defender prin încărcarea mostrelor.
Deși a doua demonstrație nu a reușit din cauza unor probleme de conectivitate cu cloud-ul, în general este un util prezentare care explică importanța protecției bazate pe cloud „blocare la prima vedere” a Windows Defender caracteristică. Dacă ați dezactivat funcția, cred că acum vă veți gândi.
Referințe și credite
Activați funcția Blocare la prima vedere pentru a detecta malware în câteva secunde
Explorați Windows Defender Instant Protection | Microsoft Ignite 2016 | Canalul 9
O mică cerere: dacă ți-a plăcut această postare, te rog să distribui asta?
Un „mic” share din partea ta ar ajuta foarte mult la dezvoltarea acestui blog. Câteva sugestii grozave:- Fixați-l!
- Distribuie-l pe blogul tău preferat + Facebook, Reddit
- Trimiteți-l pe Tweet!