Microsoft vil overvåge én milliard Windows-enheder for ukendte malwareangreb

En opgradering af Windows Defender skal afsløre malware ved at overvåge og registrere unormal systemaktivitet. Men kun i Windows 10.

Ved at sammenkøre og analyse adfærden på mere end én milliard Windows-systemer, skal Windows Defender Advanced Threat Protection programmet (WDATP), der leveres med Windows 10, opdage unormal systemaktivitet hos brugeren, og på den måde afsløre malware, der er undsluppet de normale antivirus-programmer, skriver Ars Technica.

Ifølge Microsoft var der tusinder af sådanne angreb i 2015. Angreb, der i gennemsnit var 200 dage om at blive opdaget og yderligere 80 dage om at blive indkapslet.

Den nye tilføjelse til Windows Defender er en cloud-baseret model, der overvåger aktiviteten på alle netopkoblede Windows-maskiner. Registrerer programmet aktivitet på en maskine, som afviger fra aktiviteten på den gennemsnitlige Windows-maskine, sender programmet en advarsel til administratoren af maskinen.

Ikke et antivirusprogram

WDATP er på den måde ikke et antivirusprogram i klassisk forstand, der selv angriber malware, men et system, der advarer ejeren om, at en maskine kan være kompromitteret.

Programmet retter sig således efter de angreb, der typisk ikke omhandler softwarefejl, men snarere sårbarheder omkring unpatched zero-day og brugeradfærd.

Lokkes en bruger til at åbne en mail med et kompromitteret program eller udføre en inficeret PowerShell-kommando, vil den Advanced Persistent Threat (APT) software, der typisk bliver brugt i sådanne angreb, begynde at scanne porte, søge efter netværksforbindelser for at stjæle data, eller oprette forbindelse til eksterne systemer for at søge nye informationer og exfiltrate data.

Windows Defender Advanced Threat Protection vil i disse tilfælde opfange denne adfærd og undersøge, om den afviger fra den normale og forventede system-adfærd blandt de øvrige en milliard Windows-systemer. Gør den det, vil WDATP således udsende en advarsel.

Hjælp til selvhjælp

Sammen med advarslen fra WDATP om, at en maskine kan være kompromitteret, følger ikke bare informationer om maskinens aktuelle aktiviteter. Meddelelsen fra WDATP indeholder også historik om netværksaktiviteter, fil adgange, og hvilke processer maskinen har kørt.

Information, der gør det nemmere at afgøre, hvornår en maskine er blevet angrebet, og hvor omfattende angrebet har været.

Malware med vilje

For at træne Defender Advanced Threat Protection programmet har Microsoft etableret et lukket cloud-miljø, hvor de ved hjælp af machine learning-teknikker analyserer og afkoder mere end en million selvskabte mistænkelige filer. Målet er at opbygge modeller for normal og unormal system-aktivitet. På den måde håber Microsoft på at kunne få et bedre billede af de unormale aktiviteter, malware og hackere kan forårsage.

Målet med WDATP er ikke kun, at kunne opfange usædvanlig PC adfærd, men på sigt også at kunne cross refererer mod særlige malware.

Da Windows Defender Advanced Threat Protection er en ren cloud-baseret løsning kræves der en klient for hvert endpoint, hvilket kunne være en udvidet version af Windows Defender-klienten.

Kun for Windows 10

En beta version af WDATP bliver i øjeblikket testet på omkring en halv million systemer blandt private brugere, men senere på året vil Microsoft begynde at rulle en forsmag af programmet offentligt ud.

Microsoft har endnu ikke besluttet, hvilken prismodel der skal følge WDATP, men oplyser, at programmet ikke vil blive tilgængeligt på ældre versioner af Windows.

Microsoft har tidligere lanceret sikkerhedsprogrammerne Credential Guard og Device Guard eksklusivt til Windows 10, og pusher på den måde endnu engang til, at særligt modstridende erhvervskunder opdater deres ældre Windows Systemer til den omstridte tiende udgave.

Følg forløbet

Kommentarer (0)

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen