คุณลักษณะการปกป้องคลาวด์ของ "บล็อกเมื่อแรกพบ" ของ Windows Defender ทำงานอย่างไร

Windows Defender หรือแพลตฟอร์มต่อต้านมัลแวร์ของ Microsoft ช่วยปกป้องคอมพิวเตอร์ที่บ้านเซิร์ฟเวอร์และบริการออนไลน์เช่น Office 365 ด้วยข้อมูลอัจฉริยะด้านภัยคุกคามและข้อมูลทางไกลระบบคลาวด์แบ็กเอนด์ของ Defender เป็นบริการป้องกันมัลแวร์ที่น่าประหลาดใจ

เมื่อมัลแวร์ตัวใหม่ปรากฏขึ้นอย่างดุเดือดมันอาจใช้เวลาหลายชั่วโมงสำหรับทีมต่อต้านมัลแวร์ของ Microsoft (หรือ บริษัท ต่อต้านไวรัสหรือมัลแวร์อื่น ๆ ในเรื่องนั้น) ในการวิเคราะห์ทำวิศวกรรมย้อนกลับและดำเนินการทำให้เกิดการระเบิด สามารถปล่อยการอัพเดตลายเซ็น และไม่ต้องพูดถึง QC ว่าการอัพเดทลายเซ็นต้องผ่าน

ตราบใดที่การป้องกันมัลแวร์เกี่ยวข้องไม่มีความจริงที่ว่าการป้องกันโดยใช้ลายเซ็นนั้นสำคัญ แต่นั่นไม่เพียงพอเนื่องจากอาจไม่ได้ช่วยเสมอโดยเฉพาะในกรณีของมัลแวร์ใหม่หรือที่ไม่รู้จัก ตามรายงานของ Microsoft เมื่อมีมัลแวร์ใหม่ปรากฏขึ้นคอมพิวเตอร์ 30% ติดไวรัสภายในสี่ชั่วโมงแรก การปรับปรุงลายเซ็นมักจะมาหลายชั่วโมงต่อมา

ในทางกลับกันการป้องกันบนคลาวด์ที่แข็งแกร่งของ Windows Defender นั้นใช้การวิเคราะห์พฤติกรรมแบบจำลองการเรียนรู้ของเครื่องและทำการวิเคราะห์อย่างละเอียดที่แบ็กเอนด์เพื่อพิจารณาว่าไฟล์เป็นมัลแวร์หรือไม่

การป้องกันบนคลาวด์ของ Windows Defender หรือคุณสมบัติ“ บล็อกตั้งแต่แรกเห็น” จะเปิดใช้งานตามค่าเริ่มต้น หากคุณปิดตัวเลือกการป้องกันระบบคลาวด์ใน Windows Defender เนื่องจากข้อกังวลเรื่อง“ ความเป็นส่วนตัว” คุณควรดูการสาธิตโดยทีมงาน Windows Defender Engineering ซึ่งแสดงให้เห็นว่าการปกป้องคลาวด์ที่มีประสิทธิภาพนั้นเป็นอย่างไร

วิดีโอช่อง 9: สำรวจการป้องกันทันทีของ Windows Defender Microsoft Ignite 2016

ตรวจสอบให้แน่ใจว่าเปิดใช้งานการป้องกันคลาวด์ "บล็อกตั้งแต่แรกเห็น"

คลิกเริ่มการตั้งค่า (หรือกด WinKey + i)

ในหน้าการตั้งค่าคลิกอัปเดตและความปลอดภัยจากนั้น Windows Defender

ตรวจสอบให้แน่ใจว่าได้เปิดใช้งาน การ ตั้งค่าการ ป้องกันบนคลาวด์ และ การส่งตัวอย่างอัตโนมัติ

เมื่อมีการเปิดใช้งานตัวเลือก“ การป้องกันเมฆตั้งแต่แรกเห็น” ของ Windows Defender และตัวเลือกการส่งตัวอย่างในการตั้งค่า Windows Defender หากระบบพบไฟล์ที่น่าสงสัยซึ่งผ่านการตรวจจับโดยใช้ลายเซ็น Defender จะส่งข้อมูลเมตาของไฟล์ที่น่าสงสัย โปรดทราบว่าคลาวด์ไม่ได้ร้องขอไฟล์ทั้งหมดตลอดเวลา

เครื่องที่แบ็คเอนด์คลาวด์วิเคราะห์ข้อมูลเมตาใช้ประโยชน์จาก logics, ชื่อเสียงของ URL และข้อมูล telemetry เพื่อตรวจสอบว่าไฟล์เป็นมัลแวร์หรือไม่

ตัวอย่างเช่นหากชื่อไฟล์มัลแวร์ตรงกับชื่อของโมดูล Windows core ส่วนหลังของคลาวด์จะตรวจสอบลายเซ็นดิจิทัลของโมดูล หากไม่ได้ลงนามหรือไม่ได้ลงนามโดย Microsoft และเป็น "การจำแนก" เป็นมัลแวร์ (ที่มี "ความมั่นใจ" ระดับ 85%) จากนั้นระบบคลาวด์จะกำหนดไฟล์ที่เป็นมัลแวร์

การประเมิน "การจำแนกประเภท" และ "ความเชื่อมั่น" ซึ่งเป็นส่วนที่สำคัญที่สุดของการวิเคราะห์แบ็กเอนด์นั้นได้มาจากแบบจำลองการเรียนรู้ของเครื่อง

ในกรณีที่คลาวด์แบ็คเอนด์เกิดขึ้นโดยไม่มีคำตัดสินมันก็ขอไฟล์ทั้งหมดเพื่อการวิเคราะห์อย่างละเอียด จนกว่าจะอัปโหลดไฟล์และคลาวด์ยืนยันการรับเดียวกัน Windows Defender ล็อคไฟล์และไม่อนุญาตให้ทำงานบนไคลเอนต์ นั่นคือการเปลี่ยนแปลงที่สำคัญที่ทีม Windows Defender ทำไว้ในการอัปเดตครบรอบของ Windows 10 (v1607)

ก่อนหน้านี้ไฟล์ที่น่าสงสัยได้รับอนุญาตให้ทำงานในขณะที่การอัปโหลดอยู่ในระหว่างดำเนินการพร้อมกัน แม้กระทั่งก่อนที่การอัปโหลดจะเสร็จสมบูรณ์มัลแวร์ก็จะหยุดทำงานและทำลายตัวเองไปแล้ว

เมื่อมาถึงการสาธิตของทีม Windows Defender Engineering มีการหารือกันสองสถานการณ์ ในสถานการณ์สมมติ 1 คลาวด์แบ็กเอนด์จัดประเภทไฟล์เป็นมัลแวร์โดยยึดตามข้อมูลเมตาเท่านั้น อุปกรณ์ # 1 ที่ปิดระบบคลาวด์ได้รับเชื้อเมื่อเรียกใช้ไฟล์ และอุปกรณ์ # 2 พร้อมการป้องกันคลาวด์เปิดได้รับการคุ้มครองทันที

ในสถานการณ์สมมติ 2 ผู้ใช้รายแรกรันมัลแวร์ที่ไม่รู้จัก คลาวด์ไม่ถึงคำตัดสินจากข้อมูลเมตาและทำให้ไฟล์ทั้งหมดถูกส่งโดยอัตโนมัติ

เวลาในการส่งคือเวลา 19:48:59 น. - แบ็กเอนด์เสร็จสิ้นการวิเคราะห์อัตโนมัติที่ 19:49:01 ชั่วโมง (~ 2 วินาทีจากเวลาที่อัพโหลดอัพโหลดไปที่แบ็คเอนด์คลาวด์) และพิจารณาว่าไฟล์นั้นเป็นมัลแวร์

นับจากวินาทีนั้น Windows Defender จะบล็อกการพบไฟล์ในอนาคตดังนั้นจึงปกป้องอุปกรณ์อื่น ๆ นับล้านที่เปิดใช้งานการป้องกันบนคลาวด์ของ Windows Defender

Microsoft ยังมีไซต์ทดสอบชื่อ Windows Defender Testground ซึ่งคุณสามารถตรวจสอบประสิทธิภาพของการปกป้องระบบคลาวด์ของ Defender ได้โดยการอัพโหลดตัวอย่าง

แม้ว่าการสาธิตครั้งที่สองจะไม่ประสบความสำเร็จเนื่องจากปัญหาการเชื่อมต่อกับระบบคลาวด์โดยรวมแล้วมันเป็นการนำเสนอที่มีประโยชน์ซึ่งอธิบายถึงความสำคัญของคุณลักษณะการป้องกันบนคลาวด์ของ "บล็อกเมื่อแรกเห็น" ของ Windows Defender หากคุณปิดคุณลักษณะนี้ไปฉันคิดว่าคุณคงมีความคิดที่สอง

การอ้างอิงและเครดิต

เปิดใช้งานฟีเจอร์ Block at First Sight เพื่อตรวจจับมัลแวร์ภายในไม่กี่วินาที
สำรวจการป้องกันทันทีของ Windows Defender Microsoft Ignite 2016 | ช่อง 9