不少人可能依靠其他防毒軟件也不相信 Windows 內建的 Windows Defender,但微軟沒有放棄之餘,更推出 Windows Defender Advanced Threat Protection。這個防毒軟件收集 10 億部 Windows 裝置的數據,透過雲端偵察系統的可疑行為,保護用戶免受零時攻擊和社交工程攻擊。
雖然防毒軟件常常更新,但黑客總可透過新方法來入侵電腦。微軟指去年有數以千宗的零時漏洞和社交工程攻擊,人們需要 200 日才偵察到攻擊,然後要額外 80 日來解決,這段時間足以讓黑客盜取資料,平均每宗攻擊可導致 1200 萬美元損失。因此微軟的 Windows Defender Advanced Threat Protection (WDATP)以偵察系統可疑行為,而非偵察惡意軟件的方法來防上述攻擊。
例如在一個社交工程攻擊中,攻擊者會叫受害人執行電郵附件的程式或可疑的 Powershell 指令。在攻擊時 APT 軟件會被使用以掃描連接埠或連接共享資源等。WDATP 會分析 10 億部 Windows 裝置、2.5 萬億個網站和 100 萬個可疑檔案,以得知這個行為怎樣有異正常。除此之外,WDATP 亦會在雲端沙箱分析可疑檔案,並透過機械學習來辨別到底哪些行為是不正常。
現時 WDATP 只在非公開測試階段,預計在今年會有預覽版推出。不過 WDATP 只可在 Windows 10 運作,相信又是催谷用戶升級的招數了。
Source : Arcs Technica