Windows Defender 또는 Microsoft 맬웨어 방지 플랫폼은 Office 365와 같은 가정용 컴퓨터, 서버 및 온라인 서비스를 보호합니다. 풍부한 위협 인텔리전스 및 원격 측정 데이터를 통해 Defender의 클라우드 백엔드는 놀라운 맬웨어 방지 서비스입니다.
새로운 맬웨어가 야생에 나타나면 Microsoft 맬웨어 방지 팀 (또는 해당 바이러스 백신 또는 맬웨어 방지 회사)이 파일을 분석하기 전에 파일을 분석하고 리버스 엔지니어링하고 수행하는 데 몇 시간이 걸릴 수 있습니다. 서명 업데이트를 릴리스 할 수 있습니다. 또한 서명 업데이트가 통과해야하는 QC는 말할 것도 없습니다.
맬웨어 방지와 관련하여 서명 기반 보호가 가장 중요하다는 사실은 부인할 수 없습니다. 그러나 항상 새로운 것이거나 알려지지 않은 맬웨어의 경우 항상 도움이되는 것은 아니기 때문에 충분하지 않습니다. 새로운 맬웨어가 나타난 Microsoft의 보고서에 따르면 처음 4 시간 내에 컴퓨터의 30 %가 감염되었습니다. 서명 업데이트는 보통 몇 시간 후에 제공됩니다.
반면 Windows Defender의 강력한 클라우드 기반 보호는 휴리스틱, 기계 학습 모델을 사용하고 백엔드에서 세부 분석을 수행하여 파일이 맬웨어인지 확인합니다.
기본적으로 Windows Defender 클라우드 기반 보호 또는 "처음 차단"기능이 활성화되어 있습니다. "개인 정보"문제로 인해 Windows Defender에서 클라우드 보호 옵션을 해제 한 경우 클라우드 보호가 얼마나 효과적인지 보여주는 Windows Defender 엔지니어링 팀의 데모를보다 잘 볼 수 있습니다.
채널 9 비디오 : Windows Defender 즉각적인 보호 | Microsoft Ignite 2016
“첫눈에 차단”클라우드 보호가 활성화되어 있는지 확인
시작, 설정을 클릭하십시오. (또는 WinKey + i를 누르십시오)
설정 페이지에서 업데이트 및 보안을 클릭 한 다음 Windows Defender를 클릭하십시오.
클라우드 기반 보호 및 자동 샘플 제출 설정이 사용 가능한지 확인하십시오.
Windows Defender의 "첫눈에 차단"클라우드 보호 및 샘플 제출 옵션이 Windows Defender 설정에서 활성화 된 경우 시스템에 서명 기반 탐지를 통과하는 의심스러운 파일이 있으면 Defender는 의심스러운 파일의 메타 데이터를 클라우드 백엔드로 보냅니다. 클라우드가 항상 전체 파일을 요청하는 것은 아닙니다.
클라우드 백엔드의 시스템은 메타 데이터를 분석하여 다양한 논리, URL 평판 및 원격 분석 데이터를 사용하여 파일이 악성 프로그램인지 확인합니다.
예를 들어 맬웨어 파일 이름이 핵심 Windows 모듈 이름과 일치하면 클라우드 백엔드는 모듈의 디지털 서명을 확인합니다. Microsoft에서 서명하지 않았거나 서명하지 않았으며 "분류"가 맬웨어 ( "신뢰도"수준 85 %) 인 경우 클라우드는 파일이 맬웨어라고 결정합니다.
백엔드 분석의 가장 중요한 부분을 구성하는 "분류"및 "신뢰도"평가는 기계 학습 모델을 통해 얻습니다.
클라우드 백엔드가 평결없이 나오면 자세한 분석을 위해 전체 파일을 요청합니다. 파일이 업로드되고 클라우드에서 동일한 파일의 수신을 확인할 때까지 Windows Defender는 파일을 잠그고 클라이언트에서 실행할 수 없습니다. 이는 Windows Defender 팀이 Windows 10 1 주년 업데이트 (v1607)에서 변경 한 주요 내용입니다.
이전에는 업로드가 진행되는 동안 의심스러운 파일을 동 기적으로 실행할 수있었습니다. 업로드가 완료되기 전에도 맬웨어는 실행을 마치고 자체 파괴되었습니다.
Windows Defender Engineering 팀의 데모를 통해 두 가지 시나리오가 논의되었습니다. 시나리오 1에서 클라우드 백엔드는 메타 데이터를 기반으로 파일을 맬웨어로 분류합니다. 클라우드 보호가 해제 된 장치 # 1은 파일을 실행할 때 감염됩니다. 클라우드 보호 기능이 설정된 장치 # 2는 즉시 보호됩니다.
시나리오 2에서 첫 번째 사용자는 알 수없는 맬웨어를 실행합니다. 클라우드는 메타 데이터를 기반으로 한 평결에 도달하지 않았으므로 전체 파일이 자동으로 제출되었습니다.
제출 시간은 19:48:59 시간 – 백엔드는 19:49:01 시간 (업로드가 클라우드 백엔드에 도달 한 후 ~ 2 초)에 자동 분석을 완료하고 파일이 맬웨어인지 확인했습니다.
지금부터 Windows Defender는 해당 파일의 향후 발생을 차단하여 Windows Defender 클라우드 기반 보호를 사용하도록 설정 한 수백만 개의 다른 장치를 보호합니다.
Microsoft에는 또한 샘플을 업로드하여 Defender의 클라우드 보호 효과를 확인할 수있는 Windows Defender Testground라는 테스트 사이트가 있습니다.
클라우드와의 일부 연결 문제로 인해 두 번째 데모는 성공하지 못했지만 전반적으로 Windows Defender의 "첫눈에 차단"클라우드 기반 보호 기능의 중요성을 설명하는 유용한 프레젠테이션입니다. 이 기능을 해제 한 경우 다시 생각할 것입니다.
참조 및 크레딧
첫눈에 차단 기능을 활성화하여 몇 초 내에 맬웨어를 탐지하십시오.
Windows Defender 인스턴트 보호 살펴보기 | Microsoft Ignite 2016 | 채널 9