Összeállt a Microsoft felhőalapú védelme, amelyhez korábban egy sor biztonsági céget és technológiát vásárolt. Új védelmi megoldással jelentkezett a Microsoft, amely ígéretük szerint zökkenőmentesen együttműködik az Office 365 Advanced Threat Protectionnel és a Microsoft Advanced Threat Analytics redszerrel. Így azok a vállalatok, melyek ezeket használják, teljes körű védelmet kapnak. A korábban bejelentett Advanced Threat Analytics a hálózat és a szervereket, az Office 365-ös védelem pedig az e-mailes támadásokat szűri, míg a tegnap bejelentett Windows Defender Advanced Threat Protection a kliensek védelmére hivatott.

A Windows 10-zel együtt

A Windows Defender Advanced Threat Protection egyfelől a Windows 10 beépített védelmére, másrészt egy robusztus felhőszolgáltatásra épít. Az előfizetéses formában elérhető felhőszolgáltatás egy elképesztően nagy információtömeg folyamatos elemzésével, valamint logelemzéssel egészíti ki a vírusvédelmet, hogy minimalizálja azt az időt, amely a támadások megtörténte és detektálása között eltelik, valamint lerövidítse a reakcióidőt.

Az analitika alapját egy a Microsoft rendelkezésére álló irdatlan adattömeg adja: több mint 1 milliárd windowsos eszköz nyújt anonim módon adatokat, amelyek alapján nagyon pontosan modellezhetők a felhasználói viselkedésminták. Ezzel a módszerrel nem csak a már ismert kockázatok szűrhetők ki, hanem azok is amelyek valamilyen új módszert, kódot használnak.

Az egyik legnagyobb probléma mindmáig az, hogy a támadás és a felderítés között (time to detection) nagyon hosszú idő telik el: a Cisco általánosan 100 és 200 nap közé teszi, és a Microsoft saját kutatásai is ezt erősítik: 200 nap kell a detektáláshoz és további 80 nap az elhárításhoz. Ezt rövidíteni le a komplex elemzési háttérrel radikálisan a Windows Defender Advanced Threat Protection.

Itt is ez a stratégia: cloud first

A felhős infrastruktúra, ami az egész szolgáltatás lelke, folyamatosan gyűjti és elemezi a windowsos eszközökről érkező adatokat, több ezermilliárd indexelt weboldalt (itt nyilván elsősorban a Bing keresőmotor infói jöhetnek szóba), valamint napi egymillió gyanús állományt. Az így előálló információkkal folyamatosan "okosítja" a védelmet.

Ugyanakkor van egy összetevője, amely kliensgépen folyó aktivitást rögzíti folyamatosan, és a logok elemzésével – a naplófájlok fél évre visszamenőleg vizsgálhatók – viselkedésmintákat keres. Ha az adott kliens viselkedésmintájától eltérő tevékenységet észlel, riasztást küld, így gyakorlatilag azonnali lehet a beavatkozás.

Az ötlet nem új, a logalapú viselkedéselemzés a magyar Balabittől a Splunkon, a Ciscón, az IBM-en vagy az Intelen át a CheckPointig (és még sorolhatnánk) szinte minden komolyabb cég felismerte ennek a módszernek a fontosságát. Sőt például a NexDefense az ipari vezérlőkre is kiterjesztette a viselkedéselemzést.

Az új szolgáltatás a Microsoft belső tesztjén túlesett, és már átadták néhány nagyobb ügyfélnek is további tesztelésre. A kereskedelmi változat még az idén megjelenhet.