Windows Defender Antivirus: protezione avanzata per malware in tempo reale!

L’aspetto più cruciale per i cybercriminali, è la velocità.
I nuovi malware impiegano solo 4 ore ad ottenere e rubare informazioni finanziarie, estorcere soldi e causare danni inimmaginabili. In un report recente, la Federal Trade Commission (FTC) ha affermato che, dal momento in cui qualcuno posta qualcosa su un underground forum, i cybercriminali impiegheranno solo 9 minuti ad estorcere ed utilizzare informazioni hackerate.
Fermare i nuovi malware in maniera tempestiva diventa perciò un elemento sempre più importante.

Per combattere velocità e complessità delle minacce, Microsoft lavora costantemente con l’obiettivo di potenziare e migliorare Windows Defender AV e altre funzioni di sicurezza costruite su Windows 10.
Nel manuale “The evolution of malware prevention”, si affronta l’approccio avanzato e predittivo verso la protezione degli utenti dalle minacce che si trovano ad affrontare, ora ed in futuro.

Questi miglioramenti sono basati su tecnologie di nuova generazione, che rendono Windows Defender AV in grado di bloccare automaticamente e a prima vista le nuove minacce utilizzando i seguenti metodi:

– Modelli di machine learning client-based che bloccano malware nuovi e sconosciuti;
– Analisi comportamentali locali che bloccano gli attacchi file-based e file-less;
– Antivirus di alta precisione che localizzano i malware comuni attraverso tecniche generiche ed euristiche.

In casi relativamente rari, quando Windows Defender AV ha bisogno di intelligenza aggiuntiva per verificare l’intento di un file sospetto, invia metadati al servizio di protezione cloud che, in pochi secondi, determina se il file è sicuro o maligno. Questo utilizzando le seguenti tecniche:

– Modelli precisi di machine learning client-based in grado di operare assesment curati basandosi sui segnali in arrivo dal client;
– Microsoft Intelligent Security Graph che monitora i dati di minaccia da una vasta rete di sensori

In casi ancora più rari, quando il servizio Windows Defender AV cloud protection non riesce a raggiungere una fase conclusiva sui metadata, può effettuare un’ulteriore ispezione del potenziale malware.

Su Windows 10 Creators Update, il client Windows Defender AV carica i file sospetti sul servizio di protezione cloud per un’analisi rapida.
Mentre attendete “il verdetto”, il client Windows Defender AV mantiene il blocco sui file ambigui, evitando possibili comportamenti maligni.
Il client Windows Defender AV agisce poi a seconda del verdetto. Ad esempio, se il servizio di protezione cloud classifica il file come maligno, lo blocca, fornendo protezione istantanea.

Protezione istantanea: pochi secondi fanno la differenza!

Facciamo un esempio reale e pratico.
Un cliente Windows 10 Home è stato ingannato e persuaso a scaricare un nuovo ransomware: il Ransom:Win32/Spora.

Il malware era camuffato da un file dal nome “Chrome font.exe”. È stato ospitato su un sito web di online learning compromesso da un attacker che ha cercato di persuadere le persone a scaricare il malware utilizzando una tattica di social engineering. In questo schema che prende di mira gli utenti, siti web legittimi sono stati compromessi dall’aprire una finestra di pop-up che diceva “The ‘HoeflerText’ font wasn’t found” chiedendo di effettuare un aggiornamento per sistemare la cosa. Il cliente, cliccando sul bottone “Update” nella finestra di pop-up, ha scaricato la Spora ransomware variant.

Il client di Windows Defender AV che ha il cliente in questione, scansiona perdiodicamente il file utilizzando definizioni e regole on-box. Considerato che non aveva mai incontrato il file prima, Windows Defender AV non l’ha identificato come maligno; in ogni caso ha riconosciuto le caratteristiche sospette quindi ha sospeso temporaneamente l’esecuzione del file. Il client ha così inviato una query al servizio di protezione cloud di Windows Defender AV, il quale, attraverso alcune regole di machine Learning, ha confermato che il file potesse essere un malware e che quindi avesse bisogno di ulteriore accertamenti.

In soltanto 312 millisecondi, il servizio di protezione cloud ha restituito una valutazione preliminare. In seguito ha dato istruzioni al client di inviare un campione e continuare a bloccare il file fin quando non avesse stabilito un verdetto definitivo.

In circa due secondi, il client ha finito di caricare il campione. Una volta caricato, un sistema di file-processing backend ha analizzato il campione. Un classificatore di machine Learning, ha determinato che ci fosse più del 95% di chance che il file fosse maligno. Il servizio di cloud protection ha creato una firma che ha rimandato al client. Tutto questo nell’arco di 5 secondi.

Un secondo dopo, il client Windows Defender AV ha applicato la firma cloud e messo in quarantena il malware. Ha riportato il risultato al servizio cloud e da quel momento in poi il file è stato automaticamente bloccato, proteggendo tutti i clienti Windows PC.

Rimanete protetti con Windows 10 Creators Update

Microsoft ha molti anni di esperienza nella ricerca di malware, cyber-attacchi e operazioni cyber-criminali. Studi e ricerche hanno confermato il fatto che minacce e attacchi si evolvono giorno per giorno cercando la falla nelle precedenti soluzioni di sicurezza. Guidati dai ricercatori esperti di minacce, Microsoft utilizza sistemi di data science, machine Learning, automazione ed analisi comportamentale per migliorare continuamente le soluzioni di rilevamento minacce.

Su Windows 10 Creators Update sono stati rilasciati degli aggiornamenti importanti per Windows Defender Antivirus, il quale utilizza il servizio di protezione cloud che fornisce una protezione in tempo reale contro le minacce.

La protezione cloud-based è abilitata su Windows Defender AV di default. Per controllare che sia attiva, lanciate il Windows Defender Security Center.
Dalle Impostazioni selezionate Virus & threat protection settings ed assicuratevi che le voci Cloud-based protection e Automatic sample submission siano entrambe attive.
In ambienti enterprise, il servizio di protezione cloud può essere gestito utilizzando le Group Policy o tramite il Windows Defender Security Center app.

Se attivo, Windows Defender AV blocca qualsiasi file sospetto per 10 secondi di default, mentre interroga Windows Defender AV cloud protection service. Gli amministratori possono decidere di estendere questo periodo di tempo fino ad un minuto per dare al servizio cloud il tempo di effettuare altre analisi ed utilizzare tecniche aggiuntive per identificare nuovi malware.

In un scenario in cui minacce ed attacchi sono sempre più innovativi e sofisticati e in cui gli attacchi malware impiegano poche ore a raggiungere i loro obiettivi, è cruciale essere in grado di rispondere in tempo reale. Con Windows 10 Creators Update e gli investimenti che ha fatto nel servizio di protezione cloud, Microsoft è ora in grado di individuare le ultimissime minacce in pochi secondi e distruggere un attacco malware prima che inizi ad intaccare il vostro PC.