Windows Defender o la plataforma anti-malware de Microsoft protegeixen equips domèstics, servidors i serveis en línia com Office 365. Amb la riquesa d’intel·ligència sobre amenaces i dades de telemetria, el backend al núvol de Defender és un servei sorprenent de protecció contra malware.
Quan apareix un nou programari maliciós en llibertat, l’equip antimalware de Microsoft (o qualsevol altra empresa antivirus o antimalware per a aquest tema) pot trigar hores a analitzar, fer enginyeria inversa i realitzar la detonació del fitxer de malware abans que aquest pot llançar una actualització de signatura. I, per no parlar del control de qualitat, ha de passar l’actualització de la signatura.
Pel que fa a la protecció contra programari maliciós, no es pot negar el fet que la protecció basada en signatures és la principal. Però això no és suficient, ja que no sempre ajuda, sobretot en el cas de programari maliciós nou o desconegut. Segons l'informe de Microsoft quan apareix un programa maliciós nou, el 30% dels equips estan infectats en les primeres quatre hores. Les actualitzacions de signatures solen arribar hores més tard.
La robusta protecció basada en el núvol de Windows Defender, d’altra banda, utilitza heurístiques, models d’aprenentatge automàtic i fa anàlisis detallades al fons per determinar si un fitxer és malware.
La protecció basada en el núvol de Windows Defender o la funció 'bloquejar a primera vista' està activada per defecte. Si heu desactivat l'opció de protecció contra el núvol a Windows Defender per qüestions de 'privadesa', és millor que vegeu la demostració de l'equip de Windows Defender Engineering, que mostra la eficàcia de la protecció contra el núvol.
Vídeo del canal 9: exploreu la protecció instantània de Windows Defender | Microsoft Ignite 2016
Assegureu-vos que la protecció contra el núvol 'Bloqueja a primera vista' estigui activada
Feu clic a Inici, Configuració. (O premeu WinKey + i)
A la pàgina Configuració, feu clic a Actualització i seguretat i, a continuació, a Windows Defender.
Assegureu-vos que Protecció basada en el núvol i Enviament automàtic de mostres la configuració està habilitada.
Quan les opcions de protecció al núvol 'Bloqueja a primera vista' de Windows Defender i les opcions d'enviament de mostres estan habilitades a la configuració de Windows Defender, si el sistema troba un fitxer sospitós que, en cas contrari, passa la detecció basada en signatures, Defender envia les metadades del fitxer sospitós al backend del núvol. Tingueu en compte que el núvol no sempre sol·licita tot el fitxer.
Les màquines del backend del núvol analitzen les metadades, fent ús de les diverses lògiques, reputació de l'URL i dades de telemetria per determinar si el fitxer és malware.
Per exemple, si el nom del fitxer de programari maliciós coincideix amb el nom d'un mòdul bàsic de Windows, el backend del núvol comprova la signatura digital del mòdul. Si no està signat o no està signat per Microsoft i la seva 'classificació' és malware (amb un nivell de 'confiança' del 85%), el núvol determina que el fitxer és malware.
Les avaluacions de 'classificació' i 'confiança', que constitueixen la part més important de l'anàlisi del backend, s'obtenen a través del model d'aprenentatge automàtic.
En cas que el backend del núvol no tingui cap veredicte, sol·licita un fitxer complet per fer una anàlisi detallada. Fins que el fitxer no es penja i el núvol no en confirma la recepció, Windows Defender bloqueja el fitxer i no permet executar-lo al client. Aquest és un canvi clau que l’equip de Windows Defender ha fet a l’actualització de l’aniversari de Windows 10 (v1607).
Anteriorment, es permetia executar el fitxer sospitós mentre la càrrega estava en curs, de manera sincronitzada. Fins i tot abans de completar la càrrega, el programari maliciós s'hauria acabat d'executar i s'hauria autodestruït.
En arribar a la demostració de l’equip de Windows Defender Engineering, es van discutir dos escenaris. A l’escenari 1, el backend del núvol classifica un fitxer com a programari maliciós, només en funció de les metadades. El dispositiu núm. 1 amb protecció contra el núvol desactivat, s’infecta quan s’executa el fitxer. I el dispositiu núm. 2 amb protecció contra el núvol activat està protegit a l'instant.
A l’escenari 2, el primer usuari executa un programari maliciós desconegut. El núvol no va arribar a cap veredicte basat en les metadades i, per tant, es va enviar automàticament tot el fitxer.
L’hora d’enviament va ser a les 19:48:59 hores; el backend va completar l’anàlisi automàtic a les 19:49:01 hores (aproximadament 2 segons des que el temps de pujada va tocar el backend del núvol) i va determinar que el fitxer era programari maliciós.
Des del mateix moment, Windows Defender bloquejaria qualsevol trobada futura d’aquest fitxer, protegint així milions d’altres dispositius que tinguessin habilitada la protecció basada en el núvol de Windows Defender.
Microsoft també té un lloc de prova anomenat Camp de proves de Windows Defender on podeu comprovar l’eficàcia de la protecció al núvol de Defender carregant mostres.
Tot i que la segona demostració no va tenir èxit a causa d’alguns problemes de connectivitat amb el núvol, en general és una presentació útil que explica la importància de la funció de protecció basada en el núvol de “bloqueig a primera vista” de Windows Defender. Si haguéssiu desactivat la funció, suposo que ara hi pensareu.
Referències i crèdits
Activeu la funció Bloqueja a primera vista per detectar programari maliciós en qüestió de segons
Exploreu la protecció instantània de Windows Defender | Microsoft Ignite 2016 | Canal 9
Una petició petita: si us ha agradat aquesta publicació, compartiu-la?
Una de les vostres “petites” parts ajudaria moltíssim al creixement d’aquest bloc. Alguns fantàstics suggeriments:- Fixeu-lo!
- Comparteix-lo al teu bloc favorit + Facebook, Reddit
- Fes un tuit!