Март 30, 2018 3:43 дп

Почему Windows Defender широко используется на предприятиях

By

Статистика успешности атак и изощренности вредоносных программ выглядит неутешительно. Печалит также следующий факт: около 96 % вредоносных программ полиморфны, то есть видоизменяются при каждом новом заражении устройства. Почему так происходит? Поскольку в большинстве случаев антивирусы практически сразу же обнаруживают новоявленных вредителей, создатели вирусов непрерывно совершенствуют их, чтобы оставаться на шаг впереди. Мы должны осознать, почему важно иметь решение для обеспечения информационной безопасности, не уступающее по гибкости и техническому совершенству вирусам.

Оно призвано решать целый комплекс задач: защищать пользователей от сотен тысяч новых угроз изо дня в день, адаптироваться и совершенствоваться по мере появления новых механизмов атак. Мало просто реагировать на новые угрозы — следует прогнозировать и предотвращать заражение вредоносными программами.

В прошлом году мы не раз говорили о том, какие средства вкладываем в инновационные разработки для защиты от угроз, что делаем в этом направлении и как это повлияет на существующую динамику. Сегодня я хотел бы рассказать о новых функциях защиты от вирусов в Windows Defender Advanced Threat Protection (ATP).

Функции антивирусной защиты Windows 10 неоднократно получали высочайшие оценки по итогам тестов, проведенных независимыми экспертами, и зачастую превосходили по показателям продукты конкурентов. Причина успеха — в кардинальной переработке нашего решения для обеспечения безопасности.

Надо заметить, что данная технология доступна и пользователям Windows 7, при переходе на Windows 10 им обеспечена полная защита.

Начало положено в 2015 году

Мы постоянно совершенствовали эффективность антивирусной защиты, и в 2015 году, согласно результатам испытаний двух независимых лабораторий (AV-Comparatives и AV-TEST), кардинально улучшились показатели наших решений. На диаграмме ниже показано, что с марта 2015 года начался резкий подъем оценок AV-TEST. За последующие пять месяцев показатели по итогам оценки распространенности возросли с 85 до 100 %. С тех пор мы держимся на достигнутом уровне. Результаты испытаний AV-Comparatives характеризуются аналогичной динамикой.

Результаты испытаний AV-Comparatives

В декабре 2017 года был взят очередной рекордный рубеж: высший балл AV-TEST по итогам оценки распространенности и тестирования в реальных условиях. Перед этим высшую оценку (100 %) получил один из показателей за отдельный месяц. На приведенной ниже диаграмме, взятой с сайта лаборатории AV-TEST, показаны оценки за ноябрь и декабрь для Windows 7. Достигнутые результаты относятся к Windows 10, поскольку эта операционная система использует аналогичную (и даже более продвинутую) технологию защиты.

AV-TEST, показаны оценки за ноябрь и декабрь для Windows 7.

Что касается тестирования AV-Comparatives, недавно мы достигли важной вехи в плане качества. За пять месяцев подряд не было пропущено ни одного образца вредоносных программ. Предыдущий рекорд составил четыре месяца. Как показано ниже на диаграмме AV-Comparatives, в феврале 2018 года уровень защиты достиг 100 %.

диаграмма AV-Comparatives: в феврале 2018 года уровень защиты достиг 100 %

Важно понимать, что независимые испытания позволяют оценить возможности антивирусов и эффективность защиты, но не дают комплексную оценку их качества.

К примеру, Windows Defender ATP (сочетающий антивирусную защиту и полный стек механизмов обеспечения безопасности Windows) обладает гораздо более широким набором функций, что никак не учитывается в ходе тестирования. Они обеспечивают дополнительные уровни защиты, предотвращая заражение устройства вредоносными программами. В число этих функций Windows Defender входят:

Если бы независимые лаборатории типа AV-Comparatives и AV-TEST тестировали весь стек защитных механизмов (а не только функции защиты конечных устройств), результаты были бы совершенно иными. Например, в ноябре мы получили оценку 98,9 % из-за пропуска одного файла по итогам испытания в реальных условиях. Но если бы работала функция Windows Defender Application Guard или Windows Defender Application Control, результат составил бы 100 %.

сли бы работала функция Windows Defender Application Guard или Windows Defender Application Control, результат составил бы 100 %.

Как мы достигли столь высоких результатов?

Если кратко, мы полностью переработали наши антивирусные решения для Windows 7 и Windows 10.

Мы отказались от статического сигнатурного механизма, неспособного масштабироваться в силу того, что базы сигнатур должны постоянно пополняться специалистами. Вместо этого мы перешли к подходу, основанному на технологиях прогнозирования, машинного обучения, искусственного интеллекта, что позволяет моментально обнаруживать и блокировать вредоносные программы. Особенности применения этих технологий описаны в наших публикациях о вирусных эпидемиях Dofoil, Emotet и BadRabbit. Новый подход помогает существенно улучшить защиту от непрекращающихся эпидемий вредоносных программ.

Теперь наш антивирус способен блокировать вредоносные программы, используя локальные и облачные модели машинного обучения, а также поведенческие, эвристические и базовые сигнатурные алгоритмы обнаружения на клиентском компьютере. Он может в считанные миллисекунды справиться практически с любой угрозой при первом обнаружении!

Схема: антивирус использует локальные и облачные модели машинного обучения

Кроме того, наше решение работает как в онлайновом, так и в автономном режиме. Будучи подключенным к облаку, антивирус получает результаты анализа безопасности из базы данных Intelligent Security Graph в реальном времени. В автономном режиме последние динамические данные из Intelligent Security Graph регулярно передаются на конечную точку в течение дня.

Мы также предусмотрели возможность защиты от нового поколения бесфайловых атак, в том числе от вирусов Petya и WannaCry. Подробно о защите от подобных угроз можно прочитать в публикации Now you see me: Exposing fileless malware («Все о бесфайловых вредоносных программах»).

Каковы преимущества для вас?

Каждое перечисленное выше достижение впечатляет, но мерилом успеха для Microsoft является одна простая вещь: популярность среди пользователей.

Сегодня наше антивирусное решение все шире применяется в корпоративной среде на всех наших платформах. Оно работает:

  • на 18% устройств на платформе Windows 7 и Windows 8;
  • более чем на 50% устройств на платформе Windows 10.

Эти внушительные цифры свидетельствуют о доверии потребителей к защитным функциям Windows. Кроме того, при переходе на Windows 10 организации также предпочитают использовать наш антивирус. Он работает более чем на половине всех корпоративных ПК с ОС Windows 10. Это самое популярное решение для защиты от вредоносных программ среди коммерческих организаций, использующих данную операционную систему, — от компаний малого и среднего бизнеса до крупнейших корпораций.

В последние месяцы Брфд Андерсон рассказывал об этом многим клиентам, и они интересовались причиной столь положительной динамики. Ответ прост:

  1. Возможности нашего антивирусного решения поистине уникальны! Приведенные результаты тестов говорят сами за себя. На протяжении пяти месяцев оно получало высший балл, опережая крупнейших конкурентов, поэтому вы можете быть абсолютно уверены в надежности защиты от самых изощренных угроз.
  2. Наше решение проще в работе и дешевле прочих. Большинство корпоративных клиентов используют Config Manager, чтобы управлять средствами обеспечения безопасности, включая антивирус, на ПК с ОС Windows 7 и Windows 10. В Windows 10 функции антивирусной защиты встроены в операционную систему, их не нужно устанавливать отдельно. В Windows 7 функции защиты от вирусов не устанавливаются по умолчанию, их развертывание и настройка выполняются в Config Manager. Организациям больше не нужно обслуживать две инфраструктуры управления, одну — для ПК, другую — для антивируса. Несколько лет назад ИТ-отдел Microsoft ликвидировал отдельную глобальную инфраструктуру для поддержки антивирусного решения. Теперь и вы можете это сделать! Наше решение упрощает процедуры обслуживания и обеспечения безопасности.
  3. Наше решение повышает гибкость ИТ-инфраструктуры. В Windows 10 отсутствует агент — функции защиты встроены в платформу. При обновлении Windows 10 больше не нужно ждать сертификации и поддержки новой версии сторонними разработчиками; полная поддержка и совместимость обеспечены с первого дня. Это позволяет быстрее развертывать обновления Windows и новейшие технологии безопасности. Ваша система безопасности будет всегда соответствовать требованиям времени и обеспечивать надежную защиту.
  4. Наше решение удобнее в работе. Оно функционирует в фоновом режиме, не отвлекая пользователей и потребляя минимум ресурсов. А это означает более длительную работу от аккумулятора — важный аспект для каждого пользователя!

Мы значительно повысили эффективность нашего антивируса. Но лично меня больше восхищают функции защиты и управления, которые станут доступны нашим пользователям в ближайшем будущем. А пока, чтобы полностью оценить все возможности нашего антивируса, запустите его вместе с Windows Defender ATP. Работая совместно, Windows Defender ATP и стек защитных механизмов Windows обеспечивают надежную защиту, обнаружение атак и эксплойтов «нулевого дня», а также комплексное централизованное управление жизненным циклом системы безопасности.

Зарегистрируйтесь, чтобы испытать возможности Windows Defender ATP!