Nowy Windows Defender – ochrona przeciw złożonym atakom APT częścią Windowsa 10

Kilka dni temu wielkipiec opublikował swoją „Zabawną historie o tym, jak antywirusy przestały być potrzebne”, w której wzmiankował między innymi o tym, że do ochrony komputera przed najpopularniejszymi zagrożeniami (wobec zawiłych metod ataku oprogramowanie antywirusowe i tak pozostaje bezsilnie) wystarczy Windows Defender. Jakby w odpowiedzi nowymi informacjami o nowym oprogramowaniu chroniącym komputer podzielił się Microsoft: do Windowsa 10 trafi mający zapewniać wielopoziomową ochronę przed zaawansowanymi atakami Windows Defender Advanced Threat Protection.

Nowość Microsoftu niewiele ma wspólnego z programem „antywirusowym” w postaci takiej, jakiej miliony użytkowników, w dużej mierze niepotrzebnie, wykorzystują go na dzień. Jak nietrudno się domyślić, człon nazwy „Advanced Threat Protection” stanowi swojego rodzaju odpowiedź na advanced persistent threat (APT), które można w skrócie definiować jako zaawansowane, długotrwałe, kosztowne ataki, dzięki którym także dane są pozyskiwane przez długi okres. Oczywiście celem ataków APT są głównie rządy, duże korporacje i organizacje, i to głównie dla nich Microsoft przygotował swoje narzędzie.

Nietrudno przedstawić sobie, że jednym z największych problemów dla korporacji jest właśnie długotrwałość ataku. Raz zinfiltrowana sieć już jest oczywiście ogromnym problemem, jednak w sytuacji, gdy haker zyskuje dostęp do synchronicznego stanu danych, sytuacja jest relatywnie mniej poważna od scenariusza, w którym haker posiada długotrwały dostęp do zasobów, może obserwować zmiany i reguły, a dział bezpieczeństwa żyje przez ten czas w błogiej nieświadomości. Microsoft twierdzi, że przygotował coś, co ma ograniczyć liczbę występowania takich problemów, i w zaawansowanym Defenderze zaprezentuje ochronę „powłamaniową”.

Do analizowania zagrożeń, Microsoft wykorzystuje przede wszystkim swój zasięg i liczbę urządzeń, na jakich zainstalowany został (i na których zainstalowany, tak czy inaczej, zostanie wkrótce) Windows 10. Program będzie analizował zachowania w infrastrukturze: najpierw zgromadzi wzorce zwykłych operacji wykonywanych podczas pracy zwykłego użytkownika, by następnie móc wychwycić nietypowe wzorce wskazujące na atak. Dane z różnych implementacji będą ze sobą synchronizowane w bazie w chmurze, dzięki czemu identyfikacja ataku ma być szybsza i skuteczniejsza na każdym urządzeniu objętym ochroną zaawansowanego Defendera.

Windows Defender Advanced Threat Protection jest już testowany na 500 tys. urządzeniach i wkrótce stanie się integralną częścią Windowsa 10, nie wiadomo jednak jeszcze, w jaki sposób będzie dystrybuowany. Jest to szczególnie ważne przede wszystkim dla klientów biznesowych. Więcej informacji o Windows Defender Advanced Threat Protection, podobnie jak sama ochrona, pojawi się jeszcze w tym roku. Fakt ten ma jeszcze inny wymiar. Microsoft poprzez udostępnienie tak zaawansowanego narzędzia może istotnie wpłynąć na sytuację tego typu komercyjnego oprogramowania. Również na sytuację firm, które dotąd zabezpieczały korporacyjne komputery z preinstalowanym Windowsem jako partnerzy Microsoftu.