Windows Defender o la plataforma antimalware de Microsoft protege los equipos domésticos, los servidores y los servicios en línea como Office 365. Con la gran cantidad de información sobre amenazas y datos de telemetría, el backend en la nube de Defender es un asombroso servicio de protección contra malware.
Cuando aparece un nuevo malware en la naturaleza, el equipo anti-malware de Microsoft (o cualquier otra compañía anti-virus o anti-malware) puede tardar horas en analizar, realizar ingeniería inversa y realizar la detonación del malware del archivo antes de que lo haga. puede lanzar una actualización de firma. Y, sin mencionar el control de calidad, la actualización de la firma debe pasar.
En lo que respecta a la protección contra malware, no se puede negar el hecho de que la protección basada en firmas es primordial. Pero eso no es suficiente, ya que puede que no siempre ayude, especialmente en el caso de malware nuevo o desconocido. Según el informe de Microsoft, cuando aparece un nuevo malware, el 30% de las computadoras se infectan en las primeras cuatro horas. Las actualizaciones de firmas suelen llegar horas después.
La sólida protección basada en la nube de Windows Defender, por otro lado, utiliza heurística, modelo de aprendizaje automático y realiza un análisis detallado en el backend para determinar si un archivo es malware.
La protección basada en la nube de Windows Defender o la función 'bloquear a primera vista' está habilitada de forma predeterminada. Si ha desactivado la opción de protección en la nube en Windows Defender debido a problemas de 'privacidad', es mejor que vea la demostración del equipo de ingeniería de Windows Defender, que muestra cuán efectiva puede ser la protección en la nube.
Video del canal 9: Explore la protección instantánea de Windows Defender | Microsoft Ignite 2016
Asegúrese de que la protección en la nube 'Bloquear a primera vista' esté habilitada
Haga clic en Inicio, Configuración. (O presione WinKey + i)
En la página Configuración, haga clic en Actualización y seguridad y luego en Windows Defender.
Asegúrate de eso Protección basada en la nube y Envío automático de muestras la configuración está habilitada.
Cuando la protección en la nube 'Bloquear a primera vista' de Windows Defender y las opciones de envío de muestras están habilitadas en la configuración de Windows Defender, si el sistema encuentra un archivo sospechoso que de otra manera pasa la detección basada en firmas, Defender envía los metadatos del archivo sospechoso al backend de la nube. Tenga en cuenta que la nube no siempre solicita el archivo completo.
Las máquinas en el backend de la nube analizan los metadatos, haciendo uso de las diversas lógicas, reputación de URL y datos de telemetría para determinar si el archivo es malware.
Por ejemplo, si el nombre del archivo de malware coincide con el nombre de un módulo central de Windows, el backend de la nube verifica la firma digital del módulo. Si no está firmado o no está firmado por Microsoft, y su 'clasificación' es malware (con un nivel de 'confianza' del 85%), la nube determina que el archivo es malware.
Las evaluaciones de “Clasificación” y “Confianza” que constituyen la parte más importante del análisis backend, se obtienen a través del modelo de aprendizaje automático.
En caso de que el backend de la nube no tenga un veredicto, solicita el archivo completo para un análisis detallado. Hasta que el archivo se carga y la nube confirma la recepción del mismo, Windows Defender bloquea el archivo y no permite que se ejecute en el cliente. Ese es un cambio clave que el equipo de Windows Defender ha realizado en la Actualización de aniversario de Windows 10 (v1607).
Anteriormente, se permitía que el archivo sospechoso se ejecutara mientras la carga estaba en progreso, de forma sincrónica. Incluso antes de que se completara la carga, el malware habría terminado de ejecutarse y se habría autodestruido.
Al llegar a la demostración del equipo de ingeniería de Windows Defender, se discutieron dos escenarios. En el escenario 1, el backend de la nube clasifica un archivo como malware, solo en función de los metadatos. El dispositivo n. ° 1 con la protección en la nube desactivada se infecta al ejecutar el archivo. Y el dispositivo n. ° 2 con la protección en la nube activada se protege instantáneamente.
En el escenario 2, el primer usuario ejecuta un malware desconocido. La nube no alcanzó ningún veredicto basado en los metadatos y, por lo tanto, todo el archivo se envió automáticamente.
La hora de envío fue a las 19:48:59 horas; el backend completó el análisis automatizado a las 19:49:01 horas (~ 2 segundos desde el momento en que la carga llegó al backend de la nube) y determinó que el archivo es malware.
Desde el mismo momento, Windows Defender bloquearía cualquier encuentro futuro de ese archivo, protegiendo así millones de otros dispositivos que tienen habilitada la protección basada en la nube de Windows Defender.
Microsoft también tiene un sitio de prueba llamado Campo de pruebas de Windows Defender donde puede verificar la efectividad de la protección en la nube de Defender cargando muestras.
Aunque la segunda demostración no tuvo éxito debido a algunos problemas de conectividad con la nube, en general es una presentación útil que explica la importancia de la función de protección basada en la nube 'bloquear a primera vista' de Windows Defender. Si hubiera desactivado la función, supongo que ahora tendrá un segundo pensamiento.
Referencias y Créditos
Habilite la función Bloquear a primera vista para detectar malware en segundos
Explore la protección instantánea de Windows Defender | Microsoft Ignite 2016 | Canal 9
Una pequeña solicitud: si le gustó esta publicación, por favor comparta esto.
Una 'pequeña' parte de usted ayudaría mucho con el crecimiento de este blog. Algunas buenas sugerencias:- Pin it!
- Compártelo en tu blog favorito + Facebook, Reddit
- ¡Tuitealo!