Windows Defender 또는 Microsoft 맬웨어 방지 플랫폼은 가정용 컴퓨터, 서버 및 Office 365와 같은 온라인 서비스를 보호합니다. 풍부한 위협 인텔리전스 및 원격 분석 데이터를 갖춘 Defender의 클라우드 백엔드는 놀라운 맬웨어 보호 서비스입니다.
새로운 맬웨어가 야생에 나타나면 Microsoft 맬웨어 방지 팀 (또는 해당 문제에 대한 다른 바이러스 백신 또는 맬웨어 방지 회사)이 파일을 분석, 리버스 엔지니어링 및 수행하기 전에 파일에 대한 맬웨어 폭발을 수행하는 데 몇 시간이 걸릴 수 있습니다. 서명 업데이트를 릴리스 할 수 있습니다. 그리고 QC는 말할 것도없이 서명 업데이트가 통과해야합니다.
맬웨어 보호에 관한 한 서명 기반 보호가 가장 중요하다는 사실을 부인할 수 없습니다. 하지만 그것만으로는 충분하지 않습니다. 특히 새롭거나 알려지지 않은 멀웨어의 경우 항상 도움이되지는 않습니다. 새로운 맬웨어가 나타날 때 Microsoft의 보고서에 따르면 컴퓨터의 30 %가 처음 4 시간 내에 감염됩니다. 서명 업데이트는 일반적으로 몇 시간 후에 제공됩니다.
반면 Windows Defender의 강력한 클라우드 기반 보호는 휴리스틱 스, 기계 학습 모델을 사용하고 백엔드에서 세부 분석을 수행하여 파일이 맬웨어인지 확인합니다.
Windows Defender 클라우드 기반 보호 또는 '첫눈에 차단'기능은 기본적으로 활성화되어 있습니다. '개인 정보'문제로 인해 Windows Defender에서 클라우드 보호 옵션을 해제 한 경우 클라우드 보호가 얼마나 효과적인지 보여주는 Windows Defender 엔지니어링 팀의 데모를 보는 것이 좋습니다.
채널 9 비디오 : Windows Defender 인스턴트 보호 살펴보기 | Microsoft Ignite 2016
'첫눈에 차단'클라우드 보호가 활성화되어 있는지 확인하십시오.
시작, 설정을 클릭합니다. (또는 WinKey + i 누르기)
설정 페이지에서 업데이트 및 보안을 클릭 한 다음 Windows Defender를 클릭합니다.
확인하십시오 클라우드 기반 보호 과 자동 샘플 제출 설정이 활성화됩니다.
Windows Defender 설정에서 Windows Defender의 '첫 눈에 차단'클라우드 보호 및 샘플 제출 옵션이 활성화 된 경우 시스템에서 서명 기반 탐지를 통과하는 의심스러운 파일을 발견하면 Defender는 의심스러운 파일의 메타 데이터를 클라우드 백엔드로 보냅니다. 클라우드가 항상 전체 파일을 요청하는 것은 아닙니다.
클라우드 백엔드의 시스템은 메타 데이터를 분석하여 다양한 논리, URL 평판 및 원격 측정 데이터를 사용하여 파일이 맬웨어인지 확인합니다.
예를 들어 맬웨어 파일 이름이 핵심 Windows 모듈의 이름과 일치하면 클라우드 백엔드는 모듈의 디지털 서명을 확인합니다. 서명되지 않았거나 Microsoft에서 서명하지 않았고 '분류'가 맬웨어 ( '신뢰도'수준 85 %) 인 경우 클라우드는 파일이 맬웨어라고 판단합니다.
백엔드 분석의 가장 중요한 부분을 구성하는 '분류'및 '신뢰도'평가는 기계 학습 모델을 통해 획득됩니다.
클라우드 백엔드에 판정이없는 경우 자세한 분석을 위해 전체 파일을 요청합니다. 파일이 업로드되고 클라우드가 동일한 수신을 확인할 때까지 Windows Defender는 파일을 잠그고 클라이언트에서 실행하는 것을 허용하지 않습니다. 이는 Windows Defender 팀이 Windows 10 1 주년 업데이트 (v1607)에서 수행 한 주요 변경 사항입니다.
이전에는 업로드가 진행되는 동안 의심스러운 파일을 동 기적으로 실행할 수있었습니다. 업로드가 완료되기 전에도 멀웨어는 실행을 마치고 스스로 파괴됩니다.
Windows Defender 엔지니어링 팀의 데모에서는 두 가지 시나리오에 대해 논의했습니다. 시나리오 1에서 클라우드 백엔드는 메타 데이터에 따라서 만 파일을 맬웨어로 분류합니다. 클라우드 보호가 꺼진 장치 # 1은 파일을 실행할 때 감염됩니다. 그리고 클라우드 보호가 켜진 장치 # 2는 즉시 보호됩니다.
시나리오 2에서는 첫 번째 사용자가 알려지지 않은 맬웨어를 실행합니다. 클라우드는 메타 데이터를 기반으로 한 판정에 도달하지 않았으므로 전체 파일이 자동으로 제출되었습니다.
제출 시간은 19:48:59 시간이었습니다. 백엔드는 19:49:01 시간 (업로드가 클라우드 백엔드에 도달 한 후 약 2 초)에 자동 분석을 완료하고 파일이 악성 코드임을 확인했습니다.
바로 그 순간부터 Windows Defender는 해당 파일의 향후 발생을 차단하여 Windows Defender 클라우드 기반 보호가 활성화 된 수백만 개의 다른 장치를 보호합니다.
Microsoft에는 또한 Windows Defender 테스트 장 샘플을 업로드하여 Defender의 클라우드 보호 효과를 확인할 수 있습니다.
두 번째 데모는 클라우드와의 일부 연결 문제로 인해 성공하지 못했지만 전반적으로 Windows Defender의 '첫 눈에 차단'클라우드 기반 보호 기능의 중요성을 설명하는 유용한 프레젠테이션입니다. 이 기능을 사용 중지했다면 이제 다시 생각할 것입니다.
참조 및 크레딧
Block at First Sight 기능을 활성화하여 몇 초 내에 맬웨어를 탐지합니다.
Windows Defender 인스턴트 보호 살펴보기 | Microsoft Ignite 2016 | 채널 9
작은 요청 하나 :이 게시물이 마음에 드 셨다면 공유해주세요.
여러분의 '작은'공유는이 블로그의 성장에 많은 도움이 될 것입니다. 몇 가지 훌륭한 제안 :- 그것을 핀!
- 좋아하는 블로그 + Facebook, Reddit에 공유
- 트윗하세요!