Windows Defender of het anti-malwareplatform van Microsoft beschermt thuiscomputers, servers en online services zoals Office 365. Met de schat aan informatie over bedreigingen en telemetriegegevens is de cloud-backend van Defender een verbazingwekkende service voor malwarebescherming.
Wanneer een nieuwe malware in het wild verschijnt, kan het uren duren voordat het anti-malwareteam van Microsoft (of een ander antivirus- of antimalwarebedrijf) het bestand heeft geanalyseerd, reverse-engineeren en malware-detonatie van het bestand heeft uitgevoerd. kan een handtekeningupdate vrijgeven. En niet te vergeten de QC die de handtekeningupdate moet passeren.
Wat malwarebescherming betreft, valt niet te ontkennen dat op handtekeningen gebaseerde bescherming de eerste prioriteit is. Maar dat is niet voldoende, omdat het misschien niet altijd helpt, vooral niet in het geval van gloednieuwe of onbekende malware. Volgens het rapport van Microsoft wanneer nieuwe malware verschijnt, is 30% van de computers binnen de eerste vier uur geïnfecteerd. De handtekeningupdates komen meestal uren later.
De robuuste cloudgebaseerde bescherming van Windows Defender maakt daarentegen gebruik van heuristiek, machine learning-model en gedetailleerde analyse aan de achterkant om te bepalen of een bestand malware is.
De cloudgebaseerde bescherming van Windows Defender of de functie 'blokkeren op het eerste gezicht' is standaard ingeschakeld. Als u de optie voor cloudbescherming in Windows Defender hebt uitgeschakeld vanwege 'privacy'-zorgen, kunt u beter de demo bekijken van het Windows Defender Engineering-team, die laat zien hoe effectief cloudbescherming kan zijn.
Video op kanaal 9: ontdek Windows Defender Instant Protection | Microsoft Ignite 2016
Zorg ervoor dat Cloud Protection 'Block at First Sight' is ingeschakeld
Klik op Start, Instellingen. (Of druk op WinKey + i)
Klik op de pagina Instellingen op Update en beveiliging en vervolgens op Windows Defender.
Zeker weten dat Cloudgebaseerde bescherming en Automatische indiening van monsters instellingen zijn ingeschakeld.
Wanneer de cloudbeveiliging 'Blokkeren op het eerste gezicht' van Windows Defender en de opties voor voorbeeldverzending zijn ingeschakeld in Windows Defender-instellingen, en het systeem een verdacht bestand tegenkomt dat anders op handtekeningen gebaseerde detectie doorstaat, stuurt Defender de metagegevens van het verdachte bestand naar de cloud-backend. Houd er rekening mee dat de cloud niet altijd het volledige bestand opvraagt.
De machines in de cloud-backend analyseren de metadata, gebruikmakend van de verschillende logica's, URL-reputatie en telemetriegegevens om te bepalen of het bestand malware is.
Als de malwarebestandsnaam bijvoorbeeld overeenkomt met de naam van een Windows-kernmodule, controleert de cloud-backend de digitale handtekening van de module. Als het niet is ondertekend of niet is ondertekend door Microsoft, en het is ‘classificatie’ als malware (met ‘betrouwbaarheidsniveau’ 85%), dan bepaalt de cloud dat het bestand malware is.
De beoordelingen van 'classificatie' en 'vertrouwen' die het belangrijkste onderdeel van de backend-analyse vormen, worden verkregen via het machine-leermodel.
In het geval dat de cloud-backend geen oordeel geeft, vraagt het het hele bestand voor een gedetailleerde analyse. Totdat het bestand is geüpload en de cloud de ontvangst ervan bevestigt, vergrendelt Windows Defender het bestand en kan het niet op de client worden uitgevoerd. Dat is een belangrijke wijziging die het Windows Defender-team heeft aangebracht in de Windows 10-jubileumupdate (v1607).
Eerder mocht het verdachte bestand worden uitgevoerd terwijl het uploaden bezig was, synchroon. Zelfs voordat de upload was voltooid, zou de malware zijn uitgevoerd en zichzelf hebben vernietigd.
Bij het bekijken van de demo van het Windows Defender Engineering-team werden twee scenario's besproken. In scenario 1 classificeert de cloud-backend een bestand als malware, alleen op basis van de metadata. Apparaat 1 met uitgeschakelde cloudbescherming wordt geïnfecteerd wanneer het bestand wordt uitgevoerd. En apparaat nr. 2 met cloudbescherming ingeschakeld, wordt onmiddellijk beschermd.
In scenario 2 voert de eerste gebruiker een onbekende malware uit. De cloud kwam niet tot een oordeel op basis van de metadata, en dus werd het volledige bestand automatisch ingediend.
De inzendingstijd was om 19:48:59 uur - de backend voltooide de automatische analyse om 19:49:01 uur (~ 2 seconden vanaf het moment dat de upload de cloud-backend bereikte) en stelde vast dat het bestand malware is.
Vanaf het moment dat Windows Defender toekomstige ontmoetingen van dat bestand blokkeert, beschermt het zo miljoenen andere apparaten waarop de cloudgebaseerde beveiliging van Windows Defender is ingeschakeld.
Microsoft heeft ook een testsite genaamd Windows Defender Testground waar u de effectiviteit van de cloudbescherming van Defender kunt controleren door voorbeelden te uploaden.
Hoewel de tweede demo niet slaagde vanwege enkele connectiviteitsproblemen met de cloud, is het over het algemeen een nuttige presentatie die het belang verklaart van de cloudgebaseerde beveiligingsfunctie van Windows Defender 'op het eerste gezicht blokkeren'. Als je de functie had uitgeschakeld, denk ik dat je nu een tweede gedachte hebt.
Referenties en credits
Schakel de functie Block at First Sight in om malware binnen enkele seconden te detecteren
Ontdek Windows Defender Instant Protection | Microsoft Ignite 2016 | Kanaal 9
Een klein verzoek: als je dit bericht leuk vond, deel dit dan?
Een 'klein' aandeel van jou zou enorm veel helpen bij de groei van deze blog. Enkele geweldige suggesties:- Pin het!
- Deel het op je favoriete blog + Facebook, Reddit
- Tweet het!