Microsoft heeft Windows Defender in Windows 10 van een flinke upgrade voorzien. Het anti-malware programma is voorzien van Advanced Threat Protection, dit is een zakelijk product wat nu ook is geïntegreerd in Windows Defender. Het maakt intensief gebruik van alle beveiligingsdata die Microsoft in de cloud heeft staan.
Waar Windows Defender tot voor kort alleen jacht maakte op bekende malware, doet Advanced Threat Protection juist het tegenovergestelde. Het probeert malware te detecteren die nog niet bekend is. Malware die gebruik maakt van zero-day lekken waar nog niemand van gehoord heeft en die dus ook nog niet gepatched zijn. Dat is malware die steeds vaker voorkomt, in 2015 waren er duizenden van dit soort malware en dat aantal wordt alleen maar groter.
Microsoft stelt dat het gemiddeld 200 dagen duurt voordat malware op een systeem wordt gedetecteerd en het nog eens 80 dagen duurt om deze vervolgens aan te pakken. Met Advanced Threat Protection wordt het gedrag op de computer continu geanalyseerd en houdt Microsoft contact met de Azure Cloud om erachter te komen of verdacht gedrag mogelijk kwaadaardig is, indien dat het geval is zal Windows Defender ingrijpen en de gebruiker hiervan op de hoogte stellen.
Een heel simpel voorbeeld zijn alle e-mails die worden verstuurd met als doel persoonlijke gegevens, gebruikersnamen en wachtwoorden van een gebruiker te achterhalen, het zogenaamde social engeineering. Dat zijn zaken die Advanced Threat Protection eenvoudig kan detecteren en kan tegenhouden.
Het voordeel van Windows 10 is ook dat het basale systeemgedrag van alle computers wereldwijd anoniem wordt aangeleverd bij de Microsoft cloud. Hierdoor kan Microsoft een hele goede analyse maken van wat normaal gedrag is voor een Windows-computer en wat abnormaal gedrag is. In feite is het een hele grote lading Big Data die op de juiste manier wordt geanalyseerd om verdacht gedrag en verdachte patronen te detecteren, waarna deze kunnen worden tegengehouden.
Als een proces op je Windows 10-computer straks iets gaat doen wat de gemiddelde Windows 10-computer niet doet, bijvoorbeeld communiceren van data met veel ip-adressen over vreemde poorten, dan je daarvan op de hoogte worden gesteld. Ook uitvoerbare bestanden waar Windows 10 zijn twijfels bij heeft zullen in de cloud worden uitgevoerd in een beveiligde omgeving om het gedrag te analyseren en indien dat ongewenst is wordt er wederom actie ondernomen.
Windows Defender Advanced Threat Protection (WDATP) wordt op dit moment door Microsoft getest op zo’n half miljioen Windows 10 systemen in een besloten beta. Later dit jaar moet WDATP beschikbaar gaan komen voor alle Windows 10-systemen en dan zal ook duidelijk worden of er een kostenplaatje aan deze versie van Windows Defender komt te hangen en indien dat zo is, hoe hoog het kostenplaatje zal zijn.
Vanmorgen is er een blog verschenen op Techzine over Microsoft Enterprise Mobility Suite, waar Advanced Threat Protection mogelijk onderdeel vanuit gaat maken.
38 minuten geleden
