Bagaimana Windows Defender "Blokir pada Pandangan Pertama" Fitur Perlindungan Cloud bekerja?

Windows Defender atau platform anti-malware Microsoft melindungi komputer di rumah, server, dan layanan online seperti Office 365. Dengan kekayaan data intelijen dan telemetri ancaman, cloud backend Defender adalah layanan perlindungan malware yang mencengangkan.

Ketika malware baru muncul di alam liar, dibutuhkan waktu berjam-jam bagi tim anti-malware Microsoft (atau perusahaan anti-virus atau anti-malware lainnya dalam hal ini) untuk menganalisis, merekayasa balik, dan melakukan peledakan malware terhadap file sebelum itu. dapat merilis pembaruan tanda tangan. Dan, belum lagi QC pembaruan tanda tangan harus melewati.

Sejauh menyangkut perlindungan malware, tidak dapat disangkal fakta bahwa perlindungan berbasis tanda tangan adalah yang utama. Tapi itu tidak cukup, karena mungkin tidak selalu membantu - terutama dalam kasus malware baru atau tidak dikenal. Sesuai laporan Microsoft saat malware baru muncul, 30% komputer terinfeksi dalam empat jam pertama. Pembaruan tanda tangan biasanya datang beberapa jam kemudian.

Sebaliknya, perlindungan berbasis cloud Windows Defender yang kuat, menggunakan heuristik, model pembelajaran mesin, dan melakukan analisis terperinci di backend untuk menentukan apakah suatu file adalah malware.

Fitur perlindungan berbasis cloud Windows Defender atau "blok pada pandangan pertama" secara default diaktifkan. Jika Anda mematikan opsi perlindungan cloud di Windows Defender karena masalah "privasi", Anda sebaiknya menonton demo oleh tim Rekayasa Windows Defender, yang menunjukkan seberapa efektif perlindungan cloud.

Video Channel 9: Jelajahi Perlindungan Langsung Windows Defender | Microsoft Ignite 2016

Pastikan "Block at First Sight" Cloud Protection diaktifkan

Klik Mulai, Pengaturan. (Atau tekan WinKey + i)

Di halaman Pengaturan, klik Perbarui & Keamanan dan kemudian Windows Defender.

$config[ads_text6] not found

Pastikan bahwa Perlindungan Berbasis Cloud dan pengaturan pengiriman sampel Otomatis diaktifkan.

Ketika Windows Block Defender melihat "perlindungan awan" dan opsi pengiriman sampel diaktifkan di Windows Defender Settings, jika sistem menemukan file mencurigakan yang jika tidak melalui deteksi berbasis tanda tangan, Defender mengirimkan metadata file yang mencurigakan ke cloud backend. Perhatikan bahwa cloud tidak selalu meminta seluruh file.

Mesin-mesin di cloud backend menganalisis metadata, memanfaatkan berbagai logika, reputasi URL, dan data telemetri untuk menentukan apakah file itu malware.

Misalnya, jika nama file malware cocok dengan nama modul inti Windows, cloud backend memeriksa tanda tangan digital modul. Jika tidak ditandatangani atau tidak ditandatangani oleh Microsoft, dan itu "klasifikasi" adalah malware (dengan "tingkat kepercayaan" 85%), maka cloud menentukan file tersebut adalah malware.

Penilaian “Klasifikasi” dan “kepercayaan diri” yang merupakan bagian terpenting dari analisis backend, diperoleh melalui model pembelajaran mesin.

Seandainya cloud backend muncul tanpa vonis, ia meminta seluruh file untuk analisis terperinci. Sampai file diunggah dan cloud mengonfirmasi penerimaan yang sama, Windows Defender mengunci file dan tidak mengizinkannya berjalan di klien. Itu adalah perubahan kunci yang telah dibuat oleh tim Windows Defender di Pembaruan Peringatan Ulang Tahun Windows 10 (v1607).

Sebelumnya, file yang mencurigakan diizinkan untuk berjalan saat pengunggahan sedang berlangsung, secara sinkron. Bahkan sebelum unggahan selesai, malware itu akan selesai berjalan dan menghancurkan dirinya sendiri.

Datang ke demo tim Windows Defender Engineering, ada dua skenario yang dibahas. Dalam Skenario 1, cloud backend mengklasifikasikan file sebagai malware, hanya berdasarkan metadata. Perangkat # 1 dengan perlindungan cloud dimatikan, terinfeksi saat menjalankan file. Dan perangkat # 2 dengan perlindungan cloud Aktif, langsung terlindungi.

Dalam Skenario 2, pengguna pertama menjalankan malware yang tidak dikenal. Cloud tidak mencapai putusan berdasarkan metadata, dan dengan demikian seluruh file secara otomatis dikirimkan.

Waktu pengiriman adalah pukul 19:48:59 - backend menyelesaikan analisis otomatis pada pukul 19:49:01 (~ 2 detik dari waktu unggah hit backend cloud) dan memastikan file tersebut adalah malware.

Sejak saat itu, Windows Defender akan memblokir semua pertemuan di masa depan dari file itu, sehingga melindungi jutaan perangkat lain yang mengaktifkan perlindungan berbasis Windows Defender.

Microsoft juga memiliki situs uji bernama Windows Defender Testground di mana Anda dapat memeriksa efektivitas perlindungan cloud Defender dengan mengunggah sampel.

Meskipun demo kedua tidak berhasil karena beberapa masalah konektivitas dengan cloud, secara keseluruhan itu adalah presentasi yang berguna yang menjelaskan pentingnya fitur perlindungan berbasis blok "block at first sight" Windows Defender. Jika Anda telah mematikan fitur, saya kira Anda sekarang akan berpikir dua kali.

Referensi & Kredit

Aktifkan fitur Block at First Sight untuk mendeteksi malware dalam hitungan detik

Jelajahi Perlindungan Instan Windows Defender | Microsoft Ignite 2016 | Saluran 9

Artikel Terkait