Windows Defender או פלטפורמת האנטי-תוכנה זדונית של מיקרוסופט מגנים על מחשבים ביתיים, שרתים ושירותים מקוונים כמו Office 365. עם שפע המידע האיומי ונתוני הטלמטריה, backend הענן של Defender הוא שירות הגנה מפני תוכנות זדוניות מדהימות.
כאשר תוכנה זדונית חדשה מופיעה בטבע, זה יכול לקחת שעות עבור צוות מיקרוסופט נגד תוכנות זדוניות (או כל חברת אנטי-וירוס או נגד תוכנות זדוניות אחרות לצורך העניין) לנתח, לבצע הנדסה לאחור ולבצע פיצוץ זדוני של הקובץ לפניו. יכול לשחרר עדכון חתימה. וכדי שלא לדבר על ה- QC שעדכון החתימה צריך לעבור.
בכל הנוגע להגנה מפני תוכנות זדוניות, אין להכחיש את העובדה שההגנה מבוססת החתימה היא מעולה. אבל זה לא מספיק, מכיוון שזה לא תמיד יכול לעזור - במיוחד במקרה של תוכנה זדונית חדשה או לא ידועה. על פי הדיווח של מיקרוסופט כאשר מופיעה תוכנה זדונית חדשה, 30% מהמחשבים נגועים בארבע השעות הראשונות. עדכוני החתימה מגיעים בדרך כלל שעות לאחר מכן.
ההגנה החזקה מבוססת הענן של Windows Defender, לעומת זאת, משתמשת ביוריסטיקה, במודל למידת מכונה ועושה ניתוח מפורט בחלק האחורי כדי לקבוע אם קובץ הוא תוכנה זדונית.
הגנה מבוססת ענן של Windows Defender או תכונת 'חסום ממבט ראשון' מופעלת כברירת מחדל. אם השבתת את האפשרות להגנת ענן ב- Windows Defender בגלל חששות 'פרטיות', כדאי שתצפה בהדגמה על ידי צוות Windows Defender Engineering, שמראה עד כמה הגנת הענן יכולה להיות יעילה.
סרטון ערוץ 9: חקור את ההגנה המיידית של Windows Defender | Microsoft Ignite 2016
ודא שהגנת ענן 'חסום ממבט ראשון' מופעלת
לחץ על התחל, הגדרות. (או לחץ על WinKey + i)
בדף ההגדרות, לחץ על עדכן ואבטחה ואז על Windows Defender.
תוודא ש הגנה מבוססת ענן ו הגשת דוגמאות אוטומטית ההגדרות מופעלות.
כאשר הגנת הענן 'חסום ממבט ראשון' של Windows Defender ואפשרויות הגשת דוגמאות מופעלות בהגדרות Windows Defender, אם המערכת נתקלת בקובץ חשוד שאחרת מעביר זיהוי מבוסס חתימה, Defender שולח את המטא-נתונים של הקובץ החשוד לגיבוי הענן. שים לב שהענן לא תמיד מבקש את כל הקובץ.
המכונות במערך האחורי של הענן מנתחות את המטא-נתונים, תוך שימוש בלוגיקות שונות, מוניטין של כתובות אתרים ונתוני טלמטריה כדי לקבוע אם הקובץ הוא תוכנה זדונית.
לדוגמה, אם שם הקובץ הזדוני תואם את שמו של מודול ליבה של Windows, גיבוי הענן בודק את החתימה הדיגיטלית של המודול. אם הוא לא חתום או שאינו חתום על ידי מיקרוסופט, ו'הסיווג 'הוא תוכנה זדונית (עם רמת' ביטחון '85%), הענן קובע שהקובץ הוא תוכנה זדונית.
הערכות 'סיווג' ו'אמון 'המהוות את החלק החשוב ביותר בניתוח ה- backend, מתקבלות באמצעות מודל הלמידה המכונה.
במקרה שמערך הענן לא מגיע ללא פסק דין, הוא מבקש את התיק כולו לניתוח מפורט. עד שהקובץ נטען והענן מאשר את קבלתו של אותו, Windows Defender נועל את הקובץ ולא מאפשר להריץ את הלקוח. זהו שינוי מרכזי שעשה צוות Windows Defender בעדכון יום השנה של Windows 10 (v1607).
בעבר, הקובץ החשוד הורשה לפעול בזמן ההעלאה, באופן סינכרוני. עוד לפני שההעלאה הסתיימה, התוכנה הזדונית הייתה מסיימת לפעול ומשמידה את עצמה.
כשהגענו להדגמה של צוות Windows Defender Engineering, דנו שני תרחישים. בתרחיש 1, backend הענן מסווג קובץ כתוכנה זדונית, רק על בסיס המטא נתונים. מכשיר מס '1 עם הגנת ענן כבוי, נדבק בעת הפעלת הקובץ. והמכשיר מספר 2 עם הגנת ענן פועל, מוגן באופן מיידי.
בתרחיש 2, המשתמש הראשון מפעיל תוכנה זדונית לא ידועה. הענן לא הגיע לפסק דין על בסיס המטא-נתונים, וכך התיק כולו הוגש אוטומטית.
זמן ההגשה היה בשעה 19:48:59 שעות - backend השלים את הניתוח האוטומטי בשעה 19:49:01 שעות (~ 2 שניות מרגע ההעלאה פגע בענן backend) וקבע שהקובץ הוא תוכנה זדונית.
מאותו הרגע, Windows Defender יחסום כל מפגש עתידי של אותו קובץ, ובכך יגן על מיליוני מכשירים אחרים שמאפשרים הגנה מבוססת ענן של Windows Defender.
למיקרוסופט יש גם אתר בדיקה בשם מגרש המבחנים של Windows Defender שם תוכלו לבדוק את יעילות הגנת הענן של Defender על ידי העלאת דוגמאות.
למרות שההדגמה השנייה לא הצליחה בגלל כמה בעיות קישוריות עם הענן, בסך הכל זו מצגת שימושית המסבירה את החשיבות של תכונת ההגנה מבוססת הענן 'חסום ממבט ראשון' של Windows Defender. אם כיבית את התכונה, אני מניח שעכשיו תהיה לך מחשבה שנייה.
הפניות וקרדיטים
אפשר את התכונה 'חסום ממבט ראשון' כדי לאתר תוכנות זדוניות תוך שניות
חקור את ההגנה המיידית של Windows Defender | Microsoft Ignite 2016 | ערוץ 9
בקשה קטנה אחת: אם אהבתם את הפוסט הזה, אנא שתפו את זה?
נתח 'קטנטן' אחד ממך יעזור מאוד ברציפות בצמיחת הבלוג הזה. כמה הצעות נהדרות:- להצמיד אותו!
- שתף אותו לבלוג האהוב עליך + פייסבוק, Reddit
- צייץ את זה!