Microsoft chwali Windows Defendera: innych antywirusów już nie trzeba?
Po tym jak do Komisji Europejskiej i niemieckiego federalnegourzędu antymonopolowego wpłynęłaskarga Kaspersky Lab na monopolistyczne praktyki Microsoftu,firma z Redmond całkiem przewidywalnie przeszła do kontrofensywy.Nie chce zgodzić się na wykładnię, zgodnie z którą promowanieWindows Defendera to promowanie słabego produktu. Do partnerówMicrosoftu trafiła więc informacyjna ulotka, w której objaśnianesą przewagi zabezpieczeń wbudowanych w Windowsa 10, szczególnie wświetle najbardziej dotkliwego dziś zagrożenia, jakim jestransomware.
Najgłośniejszym ostatnio atak ransomware był WannaCry – i nadnim właśnie Microsoft mocno się rozwodzi. W jakiś sposóbeksperci z Redmond doszli do wniosku, że powodem, dla któregoWindows 10 bez uszczerbku wyszedł z tej masowej infekcji nie byłaprzestarzała wersja exploitu EternalBlue, lecz właśnie wbudowany wsystem Windows Defender. Teza ciekawa, szczególnie biorąc pod uwagęniedawne przeniesienieEternalBlue na Windowsa 10, ale zobaczmy, co sam Microsoft o tympisze.
Oczywiście przyznano, że rozpowszechnienie się infekcji byłomożliwe poprzez lukę w protokole SMB (załataną dwa miesiąceprzed atakiem), lecz nawet gdyby łatki nie było, Microsoftutrzymuje że Windows 10 pozostałoby odporne. Cztery warstwyzabezpieczeń chronią ten system przed ransomware.
Tak się broni Windows 10
Zanim jeszcze dojdzie do włamania, mechanizm bezpieczeństwakernela NT – Control Flow Guard – uniemożliwiać ma samozaładowanie złośliwego kodu. Jeśli jednak zostanie on jakimścudem załadowany, to jego wstrzyknięcie zostanie powstrzymane przezmechanizmy niewykonywania kodu (Non-eXecutable Paged Pool) orazrandomizacji obszarów pamięci kernela (KASLR).
Zakładając jednak, że znalazłaby się metoda ich obejścia, tojuż na wczesnych etapach ataku Windows zostanie uchroniony przedmalware poprzez mechanizm Device Guard i antywirus Windows Defender –razem pozwalają one na uruchamianie jedynie autoryzowanychaplikacji. Ogarnięcie zagrożenia na poziomie sieci możliwe jestzaś poprzez Windows Defendera Advanced Threat Protection, które wczasie rzeczywistym raportuje administratorom o próbach ataku nakońcówki.
Skuteczność wykrywania malware przez Windows Defendera zapewniaćma napędzana chmurą infrastruktura maszynowego uczenia.Śledząc miliardy pobrań plików, odwiedzeń stron internetowych,wysłanych e-maili i aktywności końcówek, Microsoft zyskujeunikatowy, szeroki widok rzeczywistych zagrożeń, w postaciIntelligent Security Graph – struktury pozwalającej szybko wykryćwcześniej nie znane zagrożenia, a następnie zabezpieczyćwszystkich użytkowników Windowsa 10.
W swoich zapewnieniach Microsoftsięga nawet po badania firm trzecich. A właściwie jednej firmy,tj. NSS Labs, dobrze znanego z tego, że produkty Microsoftu zawszeuznaje za najbezpieczniejsze. Z raportu dowiadujemy się więc, żeMicrosoft Edge zapewnia najlepszą ochronę przed nowym, wcześniejnieznanym malware, blokując 98,7% wszystkich próbek, podczas gdyChrome blokuje tylko 92,8%, a Firefox ledwie 78,3%.
A jednak Kasperski ma rację?
Póki co niezależne badanianiemieckiego laboratorium AV-TEST potwierdzają jednak raczej opinięKaspersky Lab. W ostatniej przeprowadzonej rundzie testów z kwietnia2017 r. Windows Defender wypadł pod względem zabezpieczeń lepiejniż średnia dla branży, zapewniając ochronę przed 98,8% atakówmalware 0-day, i 99,9% ataków malware rozpoznanego w ciąguostatniego miesiąca. To jednak wyniki gorsze od tego, co osiągaływiodące pakiety antywirusowe, w tym właśnie Kasperskiego, Avasta,G Data, F-Secure czy Trend Micro. Kaspersky Lab podczas testuzablokował 100% spośród 175 użytych próbek 0-day i 100% spośród12 169 próbek malware z ostatniego miesiąca.
Z prostego rachunku wynika więc,że Windows Defender w trakcie testu przepuścił trzy ataki 0-day i12 ataków znanego malware – podczas gdy konkurencja zablokowałaje wszystkie. To i tak to spory postęp w stosunku do testu z marca,kiedy to antywirus Microsoftu przepuścił 8 ataków 0-day i 97ataków z próbek znanego malware, ale biorąc pod uwagę to, żestarczy jeden skuteczny atak, by ransomware zaszyfrowało dane nadysku, słowa Jewgienija Kasperskiego o wpychaniu na siłę przezMicrosoft słabego produktu wydają się mieć mocne pokrycie wwynikach eksperymentów.