Windows Defender sau platforma Microsoft anti-malware protejează computerele de acasă, serverele și serviciile online, cum ar fi Office 365. Cu bogăția de informații despre amenințări și date de telemetrie, backend-ul cloud Defender este un serviciu uimitor de protecție împotriva malware-ului.
Atunci când un nou malware apare în sălbăticie, echipa anti-malware Microsoft (sau orice altă companie antivirus sau anti-malware, poate dura câteva ore) să analizeze, să facă inginerie inversă și să efectueze detonarea malware a fișierului înaintea acestuia poate lansa o actualizare de semnătură. Și, ca să nu mai vorbim de QC, trebuie să treacă actualizarea semnăturii.
În ceea ce privește protecția împotriva malware-ului, nu se poate nega faptul că protecția bazată pe semnături este primordială. Dar acest lucru nu este suficient, deoarece nu este întotdeauna util - mai ales în cazul malware-ului nou sau necunoscut. Conform raportului Microsoft, când apare un nou malware, 30% din computere sunt infectate în primele patru ore. Actualizările semnăturii vin de obicei ore mai târziu.
Pe de altă parte, protecția robustă bazată pe cloud a Windows Defender folosește euristica, modelul de învățare automată și face analize detaliate în backend pentru a determina dacă un fișier este malware.
Protecția bazată pe cloud Windows Defender sau caracteristica „blocare la prima vedere” este activată implicit. Dacă ați dezactivat opțiunea de protecție cloud în Windows Defender din motive de „confidențialitate”, ar trebui să urmăriți demo-ul echipei Windows Defender Engineering, care arată cât de eficientă poate fi protecția cloud.
Video canal 9: Explorați protecția instantanee Windows Defender | Microsoft Ignite 2016
Asigurați-vă că Protecția Cloud „Blocare la prima vedere” este activată
Faceți clic pe Start, Setări. (Sau apăsați WinKey + i)
În pagina Setări, faceți clic pe Actualizare și securitate, apoi pe Windows Defender.
Asigura-te ca Protecție bazată pe cloud și Trimiterea automată a eșantionului setările sunt activate.
Când opțiunea de protecție la cloud „Blocare la prima vedere” a Windows Defender și opțiunile de trimitere a eșantionului sunt activate în Setările Windows Defender, dacă sistemul întâlnește un fișier suspect care altfel trece detectarea bazată pe semnături, Defender trimite metadatele fișierului suspect către backend-ul cloud. Rețineți că cloudul nu solicită întotdeauna întregul fișier.
Mașinile din backend-ul cloud analizează metadatele, utilizând diversele logici, reputația adreselor URL și datele de telemetrie pentru a determina dacă fișierul este malware.
De exemplu, dacă numele fișierului malware se potrivește cu numele unui modul Windows de bază, backend-ul cloud verifică semnătura digitală a modulului. Dacă nu este semnat sau nu este semnat de Microsoft și „clasificarea” este malware (cu un nivel de „încredere” de 85%), atunci norul determină că fișierul este malware.
Evaluările de „clasificare” și „încredere” care constituie cea mai importantă parte a analizei backend sunt obținute prin modelul de învățare automată.
În cazul în care backend-ul cloud apare fără verdict, solicită întregul fișier pentru o analiză detaliată. Până când fișierul este încărcat și norul confirmă primirea acestuia, Windows Defender blochează fișierul și nu permite rularea pe client. Aceasta este o schimbare cheie pe care echipa Windows Defender a făcut-o în Windows 10 Anniversary Update (v1607).
Anterior, fișierul suspect era permis să ruleze în timp ce încărcarea era în desfășurare, sincron. Chiar înainte de finalizarea încărcării, malware-ul s-ar fi finalizat și s-ar autodistruge singur.
Venind la demonstrația echipei Windows Defender Engineering, au fost discutate două scenarii. În Scenariul 1, backend-ul cloud clasifică un fișier ca malware, numai pe baza metadatelor. Dispozitivul nr. 1 cu protecție la cloud dezactivat, se infectează când rulează fișierul. Iar dispozitivul nr. 2 cu protecție împotriva cloud activat, este protejat instantaneu.
În Scenariul 2, primul utilizator rulează un malware necunoscut. Norul nu a ajuns la niciun verdict pe baza metadatelor și, astfel, întregul fișier a fost trimis automat.
Timpul trimiterii a fost la 19:48:59 ore - backend-ul a finalizat analiza automată la 19:49:01 ore (~ 2 secunde de la momentul încărcării a lovit backend-ul cloud) și a stabilit că fișierul este malware.
Din chiar momentul respectiv, Windows Defender ar bloca orice întâlnire viitoare a fișierului respectiv, protejând astfel milioane de alte dispozitive care au activată protecția bazată pe cloud Windows Defender.
Microsoft are, de asemenea, un site de testare numit Windows Defender Testground de unde puteți verifica eficiența protecției în cloud a Defender încărcând mostre.
Deși cea de-a doua demonstrație nu a reușit din cauza unor probleme de conectivitate cu cloud-ul, în general este o prezentare utilă care explică importanța caracteristicii de protecție bazată pe cloud „Bloc la prima vedere” a Windows Defender. Dacă ați fi dezactivat funcția, cred că vă veți gândi acum.
Referințe și credite
Activați funcția Blocare la prima vedere pentru a detecta malware în câteva secunde
Explorează Windows Defender Instant Protection | Microsoft Ignite 2016 | Canalul 9
O mică solicitare: Dacă ți-a plăcut această postare, te rog să o împărtășești?
O acțiune „mică” de la dvs. ar ajuta serios foarte mult la creșterea acestui blog. Câteva sugestii minunate:- Fixează-l!
- Distribuiți-l pe blogul dvs. preferat + Facebook, Reddit
- Trimite-l pe Twitter!