Windows Defender nebo anti-malwarová platforma Microsoft chrání domácí počítače, servery a online služby, jako je Office 365. Díky množství informací o hrozbách a telemetrických dat je cloudový backend Defenderu ohromující službou ochrany před malwarem.
Když se ve volné přírodě objeví nový malware, může týmu anti-malware společnosti Microsoft (nebo jiné antivirové nebo anti-malware společnosti) trvat hodiny, než provede analýzu, zpětnou analýzu a provedení malwaru detonace souboru může vydat aktualizaci podpisu. A nemluvě o QC, kterou musí aktualizace podpisu projít.
Pokud jde o ochranu před malwarem, nelze popřít skutečnost, že ochrana založená na podpisu je hlavní. To však nestačí, protože to nemusí vždy pomoci - zejména v případě zcela nového nebo neznámého malwaru. Podle zprávy společnosti Microsoft, když se objeví nový malware, je během prvních čtyř hodin infikováno 30% počítačů. Aktualizace podpisu obvykle přicházejí o hodiny později.
Robustní cloudová ochrana Windows Defenderu naopak využívá heuristiku, model strojového učení a provádí back-end podrobnou analýzu, aby zjistila, zda je soubor malware.
Ve výchozím nastavení je povolena cloudová ochrana Windows Defender nebo funkce „blokovat na první pohled“. Pokud jste vypnuli možnost ochrany cloudu v programu Windows Defender kvůli obavám o „soukromí“, měli byste si raději prohlédnout ukázku týmu Windows Defender Engineering, který ukazuje, jak efektivní může být ochrana cloudu.
Video kanálu 9: Prozkoumejte okamžitou ochranu v programu Windows Defender Microsoft Ignite 2016
Ujistěte se, že je povolena ochrana cloudu „Blokovat na první pohled“
Klikněte na Start, Nastavení. (Nebo stiskněte WinKey + i)
Na stránce Nastavení klikněte na Aktualizace a zabezpečení a poté na Windows Defender.
Ujistit se, že Cloudová ochrana a Automatické odeslání vzorku nastavení je povoleno.
Když jsou v nastavení Windows Defenderu povoleny možnosti cloudové ochrany „Blokovat na první pohled“ a možnost odeslání ukázky, pokud systém narazí na podezřelý soubor, který jinak prochází detekci založenou na podpisu, odešle Defender metadata podezřelého souboru do cloudového backendu. Cloud nemusí vždy vyžadovat celý soubor.
Stroje v cloudovém backendu analyzují metadata a využívají různé logické údaje, pověst adresy URL a telemetrická data k určení, zda je soubor malware.
Například pokud se název malwaru shoduje s názvem základního modulu Windows, cloudový backend kontroluje digitální podpis modulu. Pokud to není podepsáno nebo není podepsáno společností Microsoft a jedná se o „klasifikaci“ malware (s úrovní „spolehlivosti“ 85%), pak cloud určí, že soubor je malware.
Posouzení „Klasifikace“ a „důvěryhodnost“, které tvoří nejdůležitější část backendové analýzy, se získává prostřednictvím modelu strojového učení.
V případě, že cloudový backend nepřijde s žádným verdiktem, požádá celý soubor o podrobnou analýzu. Dokud se soubor nenahraje a cloud nepotvrdí jeho přijetí, program Windows Defender soubor uzamkne a neumožňuje spuštění na klientovi. To je klíčová změna, kterou tým Windows Defenderu provedl v aktualizaci Windows 10 Anniversary Update (v1607).
Dříve bylo možné podezřelý soubor synchronně spouštět během nahrávání. Ještě předtím, než je nahrávání dokončeno, malware by byl spuštěn a sám by se zničil.
Pokud jde o ukázku týmu Windows Defender Engineering, byly diskutovány dva scénáře. Ve scénáři 1 cloudový backend klasifikuje soubor jako malware, pouze na základě metadat. Zařízení č. 1 s vypnutou ochranou cloudu se při spuštění souboru infikuje. A zařízení č. 2 se zapnutou cloudovou ochranou je okamžitě chráněno.
Ve scénáři 2 spustí první uživatel neznámý malware. Mrak nedosáhl na základě metadat žádného verdiktu, a tak byl automaticky odeslán celý soubor.
Čas odeslání byl v 19:48:59 hodin - backend dokončil automatickou analýzu v 19:49:01 hodin (~ 2 sekundy od doby, kdy se upload nahraje do cloudového backendu) a určil, že soubor je malware.
Od samého okamžiku by Windows Defender blokoval všechna budoucí setkání s tímto souborem, čímž by chránil miliony dalších zařízení, která mají povolenou cloudovou ochranu Windows Defender.
Microsoft má také testovací web s názvem Testovací prostředí Windows Defender kde můžete zkontrolovat účinnost cloudové ochrany Defenderu nahráním vzorků.
Ačkoli se druhé demo nepodařilo kvůli některým problémům s připojením k cloudu, celkově jde o užitečnou prezentaci, která vysvětluje důležitost funkce cloudové ochrany „na první pohled blokující“ Windows Defender. Pokud jste tuto funkci vypnuli, myslím, že nyní budete mít další myšlenku.
Reference a úvěry
Povolte funkci Blokovat na první pohled, abyste detekovali malware během několika sekund
Prozkoumejte okamžitou ochranu programu Windows Defender Microsoft Ignite 2016 | Kanál 9
Jedna malá žádost: Pokud se vám tento příspěvek líbil, sdílejte ho prosím?
Jedno „malé“ sdílení od vás by vážně hodně pomohlo s růstem tohoto blogu. Několik skvělých návrhů:- Připnout!
- Sdílejte to na svém oblíbeném blogu + Facebook, Reddit
- Tweetujte to!