Компания Microsoft расширяет возможности своего антивируса Windows Defender, входящего в состав операционной системы Windows 10. Атаки, основанные на методах социальной инженерии и уязвимостях нулевого дня, а не программных уязвимостях, могут пройти незамеченными для антивирусов. Microsoft говорит о тысячах подобных атак в 2015 году, и что в среднем на их обнаружение уходит 200 дней, а на сдерживание ещё 80 дней - более чем достаточный срок для кражи данных. В среднем каждый такой случай обходился организациям в $12 млн.
Анонсированная на этой неделе защита Windows Defender Advanced Threat Protection (WDATP) призвана обнаруживать атаки такого рода не за счёт поиска определённого рода вредоносного кода, а за счёт выявления подозрительной системной активности. Методы социальной инженерии могут вынудить пользователей открыть вложения электронных писем или выполнить подозрительную команду PowerShell. Программное обеспечение Advanced Persistent Threat (APT), используемое при таких атаках, сканирует открытые порты и подключается к сетям в поисках данных для кражи. WDATP может вести мониторинг этой активности и отклонений от нормы. Сравнение будет вестись со средними показателями поведения более чем 1 млрд. компьютеров на Windows. Если ваша система делает нечто, чего не делает «среднестатистическая система», WDATP оповещает об этом.
Система пытается понять вредоносное поведение, более 1 млн. подозрительных файлов запускаются в песочнице в облаке с целью анализа их активности. Для анализа используются технологии машинного обучения. При обнаружении такой активности WDATP запрашивает у администратора доступ не только к просмотру текущей активности, но и прежним данным по использованию сети, доступу к файлам и запущенным процессам. Обнаружение атаки может случиться не сразу, однако в итоге позволит установить степень несанкционированного проникновения в систему.
Система WDATP сейчас проходит закрытое бета-тестирование примерно на миллионе компьютеров. Позже в этом году начнётся этап открытого бета-тестирования. Она будет доступна только в системе Windows 10.