Windows Defender alebo anti-malware platforma spoločnosti Microsoft chráni domáce počítače, servery a online služby, ako je napríklad Office 365. Vďaka množstvu informácií o hrozbách a telemetrických údajov je cloudový backend Defenderu ohromujúcou službou ochrany pred škodlivým softvérom.
Keď sa vo voľnej prírode objaví nový malware, môže tímu anti-malware spoločnosti Microsoft (alebo akejkoľvek inej antivírusovej alebo anti-malware spoločnosti) trvať niekoľko hodín, kým pred tým analyzuje, spätne analyzuje a vykoná malware detonáciu súboru. môže vydať aktualizáciu podpisu. A nehovoriac o QC, cez ktorú musí prejsť aktualizácia podpisu.
Pokiaľ ide o ochranu pred malvérom, nemožno poprieť skutočnosť, že ochrana založená na podpisoch je prvoradá. To však nestačí, pretože to nemusí vždy pomôcť - najmä v prípade úplne nového alebo neznámeho škodlivého softvéru. Podľa správy spoločnosti Microsoft, keď sa objaví nový malvér, je 30% počítačov infikovaných počas prvých štyroch hodín. Aktualizácie podpisov zvyčajne prichádzajú o hodiny neskôr.
Robustná cloudová ochrana programu Windows Defender na druhej strane využíva heuristiku, model strojového učenia a vykonáva back-end podrobnú analýzu, aby zistila, či je súbor malvér.
Cloudová ochrana alebo funkcia „blokovať na prvý pohľad“ v programe Windows Defender sú predvolene povolené. Ak ste vo Windows Defender vypli možnosť cloudovej ochrany z dôvodu obáv o „ochranu osobných údajov“, radšej si pozrite ukážku tímu Windows Defender Engineering, ktorý ukazuje, aká efektívna môže byť cloudová ochrana.
Video kanála 9: Preskúmajte okamžitú ochranu programu Windows Defender Microsoft Ignite 2016
Uistite sa, že je povolená ochrana cloudu „Blokovať na prvý pohľad“
Kliknite na Štart, Nastavenia. (Alebo stlačte WinKey + i)
Na stránke Nastavenia kliknite na položku Aktualizácia a zabezpečenie a potom na položku Windows Defender.
Uistite sa, že Cloudová ochrana a Automatické odoslanie vzorky nastavenia sú povolené.
Keď je v nastaveniach programu Windows Defender povolená možnosť cloudovej ochrany „Blokovať na prvý pohľad“ a možnosť odoslania vzorky, v prípade, že systém narazí na podozrivý súbor, ktorý inak prechádza detekciou na základe podpisu, program Defender odošle metadáta podozrivého súboru do cloudového servera. Upozorňujeme, že cloud nevyžaduje vždy celý súbor.
Stroje v cloudovom backende analyzujú metadáta a pomocou rôznych logík, reputácie adries URL a telemetrických údajov určujú, či ide o malware.
Napríklad, ak sa názov súboru malvéru zhoduje s názvom základného modulu Windows, back-end cloudu skontroluje digitálny podpis modulu. Ak to nepodpísal alebo nepodpísal Microsoft a jedná sa o „klasifikáciu“ malvér (s úrovňou „dôveryhodnosti“ 85%), potom cloud určí, že ide o malware.
Hodnotenia „klasifikácie“ a „dôveryhodnosti“, ktoré tvoria najdôležitejšiu časť backendovej analýzy, sa získavajú prostredníctvom modelu strojového učenia.
V prípade, že cloudový backend nepríde s verdiktom, vyžiada celý súbor pre podrobnú analýzu. Kým sa súbor nenahrá a cloud nepotvrdí jeho prijatie, program Windows Defender ho uzamkne a neumožní spustenie na klientovi. Toto je kľúčová zmena, ktorú tím programu Windows Defender vykonal v aktualizácii Windows 10 Anniversary Update (v1607).
Predtým sa podozrivý súbor mohol spúšťať synchrónne počas nahrávania. Malvér by sa mal spustiť ešte predtým, ako sa dokončí nahrávanie, a sám by sa zničil.
V rámci ukážky tímu Windows Defender Engineering sa diskutovalo o dvoch scenároch. V scenári 1 cloudový backend klasifikuje súbor ako malware, iba na základe metadát. Zariadenie č. 1 s vypnutou ochranou cloudu sa pri spustení súboru infikuje. A zariadenie č. 2 so zapnutou cloudovou ochranou je okamžite chránené.
V scenári 2 prvý používateľ spustí neznámy malvér. Cloud na základe metadát nedospel k verdiktu, a tak sa automaticky odoslal celý súbor.
Čas odoslania bol o 19:48:59 hodín - server backend dokončil automatizovanú analýzu o 19:49:01 hodín (~ 2 sekundy od času, keď sa nahrávanie dotklo servera cloud) a určil, že ide o malware.
Od samého okamihu by program Windows Defender blokoval akékoľvek budúce stretnutia s týmto súborom, čím by chránil milióny ďalších zariadení, ktoré majú povolenú cloudovú ochranu programu Windows Defender.
Microsoft má tiež pomenovanú testovaciu stránku Testovacie prostredie programu Windows Defender kde môžete skontrolovať účinnosť cloudovej ochrany aplikácie Defender nahraním vzoriek.
Aj keď druhá ukážka neuspela kvôli problémom s pripojením k cloudu, celkovo je to užitočná prezentácia, ktorá vysvetľuje dôležitosť cloudovej funkcie ochrany „na prvý pohľad blokujúcej“ program Windows Defender. Keby ste túto funkciu vypli, myslím si, že teraz budete mať ešte druhú myšlienku.
Referencie a úvery
Povolte funkciu Blokovať na prvý pohľad a detegujte malware v priebehu niekoľkých sekúnd
Preskúmajte okamžitú ochranu programu Windows Defender Microsoft Ignite 2016 | Kanál 9
Jedna malá požiadavka: Ak sa vám tento príspevok páčil, zdieľajte ho?
Jedno „malé“ zdieľanie od vás by vážne pomohlo pri rozširovaní tohto blogu. Niekoľko skvelých návrhov:- Pripnúť!
- Zdieľajte to na svojom obľúbenom blogu + Facebook, Reddit
- Tweetujte to!