System attackeras idag utan att ens nyttja någon skadlig kod, istället används legitima verktyg för att komma åt sårbarheter eller manipulera användaren för att på sätt komma åt enheten/identiteten eller informationen. Det gör också att ett traditionellt antivirus inte heller har någon möjlighet att detektera attacken. Ett signaturbaserat antivirus har sedan länge varit relativt maktlöst mot mer sofistikerade attacker och dess skadliga kod.

En annan utmaning är att utreda hur en eventuell virusattack eller ett intrång har startat för att på så sätt identifiera brister i mjukvara och användarutiner. Vissa kritiska enheter behöver återställas så snart som möjligt och försvårar på så sätt även en utredning.

Så gott som alla antivirusleverantörer samlar in anonym data för att bli bättre på att identifiera skadlig kod, skillnaden med Microsoft är att de även får in anonym information från över en miljard Windows-enheter, där bland annat SmartScreen-filtret indexerat 2.5 biljoner URLer och dagligen scannar över en miljon suspekta filer.

Tack vare big data och machine learning finns det idag tekniker för att detektera onormalheter och identifiera mönster som kan vara tecken på en attack. Genom att identifiera ett normalt beteende, allt ifrån tidpunkt för inloggningar och mot vilka system, till vilka programvaror som används, identifierar Microsofts intelligenta analystjänst onormalheter. Vi har redan den här typen av beteendebaserat identifiering i Advanced Threat Analytics (ATA) men inom kort kommer vi även få liknande skydd i Windows 10.

Tjänsten heter Windows Defender Advanced Threat Protection (ATP) som nu byggs in i kommande Windows 10 releaser och ingår redan idag i Insider Preview i Redstone Build 14332 och senare.

Tjänsten består av tre olika delar för att detektera attacker och spåra intrång

• Beteendebaserad sensor som loggar relevanta event och beteenden på klienten
• Molnbaserat ”big data”-tjänst som analyserar event och händelser baserat på tidigare erfarenhet och dynamiskt uppdaterad information om kända attacker. Det här kan vara allt ifrån kända filer, URLer, IP-adresser, var och när något skrivs till registret med mera.
• Ett säkerhetsteam från bland annat Microsoft som 24/7 utreder och detekterar nya beteenden och mönster i de fall som den mänskliga faktorn behöver komplettera skyddet.

Resultaten presenteras sedan i en ATP-portal. Den här portalen redovisar och larmar om kritiska händelser på dina enheter.

Defender ATP kommer vara inaktiverat som standard och vid aktivering konfigureras klienten antingen via MDM, GPO eller manuellt. Relevant data överförs krypterat till organisationens tenant och ger möjlighet att identifiera händelser som sker på en eller flera av verksamhetens enheter, så som virusutbrott eller intrång.

Finns det mer detaljer om en typ av attack som är känd sedan tidigare redovisas även en full rapport på den unika attacken.
Portalen kan även användas under en utredning (forensics) för att ta reda på vad som hänt med en typ av enhet som blivit exempelvis infekterad eller nyttjad under ett intrång.

Behöver en specifik fil eller program utredas djupare kan vi dels se hur känd den här filen är och om den förekommer på andra datorer inom vår organisation eller övriga enheter runt om i världen. Man kan även göra en utredning i en helt isolerad miljö för en fil för att få detaljer där det redovisas i detalj vilken påverkan filen har på ett system, var den skriver hur den kommunicerar med mera.

Den här möjligheten har flera säkerhetsavdelningar efterfrågat sedan länge och med tanke på rådande hotbild är det den här typen av skydd som behövs.

    
Två exempel med en känd fil (eicar AV-testfil) och okänd fil