Новости про Microsoft, антивирусы и безопасность

Система Windows Defender System Guard защищает от атак в прошивке, гарантируя безопасную загрузку посредством аппаратных решений в области безопасности, включая аттестацию на уровне гипервизора и технологии Secure Launch, известной как Dynamic Root of Trust (DRTM), которая включает безопасное ядро на ПК по умолчанию. Новый движок сканирования UEFI распространяется на эти защиты, делая сканирование прошивки более широкой практикой.

Сканер UEFI является новым компонентов встроенного в Windows 10 антивируса. Он даёт Microsoft Defender ATP уникальную возможность сканирования файловой системы прошивки и выполнять обслуживание в области безопасности.

Как именно поменяется имя, пока не подтверждено, но исходя из прошлого опыта название Windows Defender больше не будет ассоциироваться исключительно с Windows. Ранее, когда в 2017 году Windows Defender ATP (Advanced Threat Protection) был расширен на Android, iOS, macOS и Linux, компания переименовала его на Microsoft Defender ATP. По всей видимости теперь обычный Windows Defender будет называться Microsoft Defender.

Такое переименование логично, ведь сервис будет доступен на множестве платформ, а как показывает опыт, копания может быть вполне успешной и в среде Linux, и в Android. Правда очень сложно представить человека, который будет устанавливать Windows Defender на компьютер Mac или Linux.

Как сообщила компания в своём блоге, изменение коснётся Windows Defender Advanced Threat Protection (ATP), корпоративной службы Windows 10, которая выявляет первые признаки инфицирования. Директор Windows Enterprise Роб Леффертс сообщил, что после обновления системы будут использоваться данные из облачных сервисов Microsoft, с помощью которых будет создан антивирус на искусственном интеллекте. Этот подход позволит ATP лучше предотвращать возможные заражения.

Одной из главных возможностей искусственного интеллекта станет возможность постоянно выявлять ранее неизвестный вредоносный код на компьютере. После его обнаружения Microsoft быстро изолирует зловреда в облаке и создаст сигнатуры для его быстрой идентификации антивирусом. По словам Леффертса, порядка 96% кибератак осуществляются с использованием нового вредоносного кода, так что анонсированная функция выглядит многообещающе. По сути, она изменит подход обновления Редмондом средств защиты. Сейчас у разработчиков уходят часы на анализ кода, и пока специалисты создают сигнатуры, инфекция уже может распространиться на несколько машин.

Несмотря на то, что новые функции ATP будут изначально доступны лишь для предприятий, сообщается, что Microsoft имеет планы по выпуску технологии для обычных пользователей, более того, компания также планирует предложить её «большему количество платформ за пределами Windows».

Результат тестирования оказался примерно одинаковым. Почти все представленные к тестированию решения могли выявить 100% инфекций, либо немного меньше этой величины. И только единственный инструмент — Microsoft Security Essentials, смог выявить лишь 73% угроз в режиме реальных условий, и 87% вирусов в режиме реального времени. Столь низкая цифра вовсе не нова для продуктов Microsoft Defender/MSE, однако этот инструмент довольно популярен, поскольку поставляется бесплатно вместе с ОС.

С одной стороны, использовать плохой бесплатный антивирус лучше, чем не пользоваться антивирусами совсем, однако с другой стороны, столь несовершенный продукт даёт ложное чувство безопасности при работе за компьютером, ведь он может пропустить до четверти поступающих угроз.

В результате вы получаете то, за что платите. Как отметил директор тестовой лаборатории AV Test Эрик Хейланд, «экономически обосновано в качестве защиты корпоративной сети использовать конечный модуль, встроенный в Microsoft Management Suite System Center 2012. Но тест выявил, что это не рекомендуется делать. Решение набрало 0 очков от испытателей в разделе функционала защиты, а всего оно набрало лишь 11 из 18 возможных баллов».

Его конечно заключение было таково: «Бесплатный модуль Microsoft слишком слаб в выявлении вредоносного ПО».

Уязвимость позволяет атакующим отключить продукты безопасности Microsoft, разместив на компьютере жертвы специально подготовленный файл, заставив скачать его из Интернета, отправив по почте или через сервис мгновенных сообщений.

Уязвимость находилась в движке защиты от вредоносного ПО, который является основой для многих продуктов безопасности Microsoft для настольных систем и серверов. Он входит в такие приложения как Microsoft Forefront Client Security, Microsoft System Center 2012 Endpoint Protection, Microsoft Malicious Software Removal Tool, Microsoft Security Essentials, Windows Intune Endpoint Protection и Windows Defender, которые поставляются с предустановленными операционными системами Windows Vista и более новыми.

Сам же софтверный гигант отметил «важность» этой уязвимости, что значит, что она может быть использована для доступа к данным или ресурсам процессора пользователя, однако для этого пользователю необходимо «помочь» злоумышленнику.

В случае если хакеру удалось достичь своей цели, Microsoft Malware Protection Engine прекращает мониторинг повреждённой системы. В целом, получить доступ к компьютеру оказывается достаточно сложно, поэтому случаев использования данной бреши в системе безопасности пока не зафиксировано.

Равно как и все обновления, Sysinternals Suite 1.0 Build 29.01.2014 вышла с различными исправлениями ошибок во встроенных модулях и получила заметно обновлённый Process Explorer.

Данная утилита позволяют вам получать подробные сведения о процессах, включая графики использования ими памяти, настройки безопасности, доступа пользователей и т.д. В новой версии добавилась интеграция с VirusTotal, что означает автоматическую проверку на вирусы.

Компания Microsoft ввела эту функцию после проведения совместной работы с VirusTotal, и вот как это реализовано: «Будучи включенным, Process Explorer отправляет хэши образов и файлов, видимых при просмотре процессов и DLL, в VirusTotal, и если они были ранее просканированы, сообщает, как много антивирусных движков определили в них потенциальную угрозу. Гиперссылки в результатах отправляют вас на страницы отчёта VirusTotal.com, где можно даже отправить файл на непосредственное сканирование».

Набор утилит Sysinternals Suite 1.0 Build 29.01.2014 работает во всех версиях операционных систем Windows от XP до 8.1, и если вы администратор или опытный пользователь, то вам непременностоит взглянуть на этот пакет.

В недавнем исследовании, независимая немецкая лаборатория AV-Test, как и всегда, проводила тестирование по трём критериям: защита, восстановление и юзабилити. В каждой из категорий продукт может набрать до 6 баллов, что всего составит 18.

Лидерами тестирования стали продукты Bitdefender, Kaspersky Lab и Symantec, четвёртое же место разделили Avast, F-Secure и GData.

Все эти продукты заработали как минимум 15,2 балла, что на 5 баллов выше, чем результат достигнутый Microsoft Windows Defender или Security Essentials, при использовании совместно с Windows Firewall. «Это подтверждает, что использование сторонних решений в области безопасности может приводить к большим улучшениям, когда речь заходит о защите системы», — говорится в отчёте лаборатории.

Лучшим способом остановить вредоносное ПО является использование продуктов от Bitdefender, F-Secure и Kaspersky, по крайней мере, таковы результаты теста «защиты» у AV-Test. Лучшими бесплатными продуктами признаны Avast и AVG, однако они расположились лишь на 8 и 12 местах соответственно.

«Windows Defender, выпускаемый Microsoft в своей операционной системе, показал очень низкие результаты с уровнем определения угроз лишь на 79%». Правда, не всё так плохо. Антивирусный продукт Microsoft показал самый высокий балл в юзабилити. И из всех протестированных продуктов лишь ещё 5 смогли набрать в этом разделе по 6 баллов. С другой стороны, юзабилити никак не поможет остановить проникновение вируса.

Для того чтобы пройти сертификацию, тестируемому продукту необходимо набрать как минимум 11 баллов. Кроме антивируса Microsoft сертификацию провалили продукты AhnLab и PC Tools Internet Security, набрав 8,5 и 10 баллов соответственно.

При тестировании защиты антивирус Microsoft набрал всего 1,5 балла из 6, показав ужасные результаты при обороне от угрозы нулевого дня, включая вредоносное ПО передаваемое как через вэб, так и по электронной почте.

Программное решение от софтверного гиганта выявило лишь 78% вредоносного ПО, при том, что средний показатель по индустрии — 92%. Единственное достижение антивируса, позволившее ему набрать 10 баллов — это юзабилити, которое достигло 5,5 очков из 6.

Лидером же тестирования оказался продукт Bitdefender Internet Security 2013, который набрал 16,5 баллов. За ним следуют Kaspersky Anti-Virus и Norton Anti-Virus, получив по 16 баллов.

С полным перечнем антивирусов и их результатами можно ознакомиться на сайте AV-Test.