Większość komputerów z systemem Windows ma zainstalowane jakieś oprogramowanie antywirusowe. Co jednak w sytuacji, w której wirus pozostaje przez te programy niezauważony? Wtedy przydać się może nowa usługa Microsoftu – Windows Defender Advanced Threat Protection. WDATP ma analizować ruch pomiędzy naszym komputerem a siecią (czy to wewnętrzną, czy internetem) i wykrywać podejrzane zachowania.

Jak twierdzi Microsoft, hakerzy coraz częściej wykorzystują techniki inżynierii społecznej i nowo odkryte luki w zabezpieczeniach, zwykle po to by zainstalować na naszych komputerach złośliwe oprogramowanie. W 2015 roku dokonano tysięcy tego typu skutecznych ataków na duże firmy, jednak to nie liczba robi największe wrażenie. Okazuje się, że od dnia ataku do jego wykrycia upływało średnio aż 200 dni, a kolejne 80 zajmowało usunięcie złośliwego oprogramowania z firmowej sieci. To wystarczyło, by wykraść dane o średniej wartości 12 milionów dolarów przy każdym takim uderzeniu.

Microsoft zamierza początkowo przeznaczyć rozwiązanie WDAPT właśnie  na rynek dużych firm. System ma wymagać instalacji na komputerach użytkowników niewielkich programów, natomiast cała praca związana z analizą danych przeprowadzana ma być na serwerach amerykańskiego giganta.

Amerykanie chwalą się, że dzięki analizie danych wiedzą o aktywności przeszło miliarda maszyn z zainstalowanym systemem Windows. Drugim filarem na którym opiera się działanie systemu WDAPT jest analiza na bieżąco uruchomionych w zamkniętym, bezpiecznym środowisku (sandbox) na komputerach Microsoftu miliona znanych złośliwych programów i bieżąca analiza ich działania. Pozwala to na określenie za pomocą algorytmów sztucznej inteligencji typowych wzorców zachowań oraz wykrywanie takiego działania maszyn, które odbiega od typowego, za to wskazuje na infekcję złośliwym oprogramowaniem.

Kiedy podejrzane zachowanie komputera zostanie wykryte, WDAPT przesyła do administratora sieci ostrzeżenie o dziwnej pracy maszyny wraz ze szczegółowymi analizami dotyczącymi m.in. tego z jakimi adresami sieci wewnętrznej i internetu komputer się kontaktował, czy jakie z nimi wymieniał pliki.

Obecnie usługa jest testowana na około 500 tysiącach urządzeń w ramach zamkniętej bety, pod koniec tego roku powinna zostać udostępniona do publicznych testów. Nie wiadomo jeszcze kiedy zobaczymy ostateczną wersję Windows Defender Advanced Threat Protection, ani na ile zostanie ona wyceniona. Microsoft potwierdził natomiast, że rozwiązanie dostępne będzie wyłącznie dla systemu Windows 10.

[źródło i grafika: arstechnica.com]

Spodobał Ci się ten artykuł? Podaj dalej!