Come funziona la funzionalità di protezione cloud "Block at First Sight" di Windows Defender?

Windows Defender o la piattaforma antimalware di Microsoft protegge i computer domestici, i server e i servizi online come Office 365. Con la ricchezza di dati sulle minacce e la telemetria, il back-end del cloud di Defender è un sorprendente servizio di protezione dai malware.

Quando un nuovo malware viene visualizzato in natura, possono essere necessarie ore affinché il team antimalware di Microsoft (o qualsiasi altra società antivirus o antimalware) analizzi, decodifichi ed esegua la detonazione di malware del file prima di esso può rilasciare un aggiornamento della firma. E, per non parlare del controllo qualità, deve passare l'aggiornamento della firma.

Per quanto riguarda la protezione da malware, non si può negare il fatto che la protezione basata su firma sia ottima. Ma ciò non è sufficiente, poiché potrebbe non essere sempre utile, soprattutto nel caso di malware nuovo o sconosciuto. Secondo il rapporto di Microsoft quando appare un nuovo malware, il 30% dei computer viene infettato entro le prime quattro ore. Gli aggiornamenti delle firme di solito arrivano dopo ore.

La solida protezione basata su cloud di Windows Defender, d'altra parte, utilizza l'euristica, il modello di apprendimento automatico e esegue un'analisi dettagliata nel backend per determinare se un file è un malware.

La protezione basata su cloud di Windows Defender o la funzionalità "blocco a prima vista" è abilitata per impostazione predefinita. Se hai disattivato l'opzione di protezione cloud in Windows Defender a causa di problemi di "privacy", è meglio guardare la demo del team di Windows Defender Engineering, che mostra quanto possa essere efficace la protezione cloud.

Canale 9 Video: Esplora Windows Defender Instant Protection | Microsoft Ignite 2016

Assicurati che la protezione cloud "Blocca a prima vista" sia abilitata

Fai clic su Start, Impostazioni. (Oppure premi WinKey + i)

$config[ads_text6] not found

Nella pagina Impostazioni, fai clic su Aggiornamento e sicurezza, quindi su Windows Defender.

Assicurati che le impostazioni di Protezione basata su cloud e Invio campione automatico siano abilitate.

Quando la protezione del cloud "Blocca a prima vista" di Windows Defender e le opzioni di invio del campione sono abilitate nelle Impostazioni di Windows Defender, se il sistema rileva un file sospetto che altrimenti passa il rilevamento basato sulla firma, Defender invia i metadati del file sospetto al back-end del cloud. Si noti che il cloud non richiede sempre l'intero file.

I computer del back-end cloud analizzano i metadati, facendo uso delle varie logiche, reputazione URL e dati di telemetria per determinare se il file è un malware.

Ad esempio, se il nome file del malware corrisponde al nome di un modulo Windows principale, il back-end cloud controlla la firma digitale del modulo. Se non è firmato o non firmato da Microsoft e la sua "classificazione" è un malware (con un livello di "affidabilità" dell'85%), il cloud determina che il file è malware.

Le valutazioni "Classificazione" e "Fiducia" che costituiscono la parte più importante dell'analisi del backend, sono ottenute attraverso il modello di apprendimento automatico.

Nel caso in cui il back-end cloud non venga emesso alcun verdetto, richiede l'intero file per un'analisi dettagliata. Fino a quando il file non viene caricato e il cloud conferma la ricezione dello stesso, Windows Defender blocca il file e non consente l'esecuzione sul client. Questa è una modifica fondamentale che il team di Windows Defender ha apportato nell'aggiornamento dell'anniversario di Windows 10 (v1607).

In precedenza, il file sospetto era autorizzato a essere eseguito mentre il caricamento era in corso, in modo sincrono. Anche prima del completamento del caricamento, il malware avrebbe terminato l'esecuzione e si sarebbe autodistrutto.

Venendo alla demo del team di Windows Defender Engineering, sono stati discussi due scenari. Nello Scenario 1, il back-end cloud classifica un file come malware, solo in base ai metadati. Il dispositivo n. 1 con protezione cloud disattivata, viene infettato durante l'esecuzione del file. E il dispositivo n. 2 con protezione cloud attiva, è immediatamente protetto.

Nello scenario 2, il primo utente esegue un malware sconosciuto. Il cloud non ha ottenuto alcun verdetto in base ai metadati e quindi l'intero file è stato inviato automaticamente.

Il tempo di invio era alle 19:48:59 - il back-end ha completato l'analisi automatizzata alle 19:49:01 ore (~ 2 secondi dal momento in cui il caricamento ha colpito il cloud back-end) e ha determinato che il file è malware.

Fin dal momento in cui Windows Defender avrebbe bloccato ogni incontro futuro di quel file, proteggendo così milioni di altri dispositivi con la protezione basata su cloud di Windows Defender abilitata.

Microsoft ha anche un sito di test chiamato Windows Defender Testground in cui è possibile verificare l'efficacia della protezione cloud di Defender caricando campioni.

Sebbene la seconda demo non abbia avuto esito positivo a causa di alcuni problemi di connettività con il cloud, nel complesso si tratta di una presentazione utile che spiega l'importanza della funzionalità di protezione basata su cloud "blocca a prima vista" di Windows Defender. Se avessi disattivato la funzione, suppongo che ora avrai un secondo pensiero.

Riferimenti e crediti

Attiva la funzione Blocca a prima vista per rilevare malware in pochi secondi

Esplora Windows Defender Instant Protection | Microsoft Ignite 2016 | Canale 9

Articoli Correlati