Microsoft ha illustrato alcuni dei miglioramenti che arriveranno con il Creators Update di Windows 10 sul fronte della sicurezza e più in particolare l'Advanced Threat Protection (ATP) di Windows Defender. La casa di Redmond ha lavorato sulle tecnologie integrate nel sistema operativo per identificare prontamente le minacce.
Con il Creators Update farà il suo debutto il Windows Defender Security Center, un luogo in cui sarà più semplice vedere e controllare le funzioni di sicurezza e capirne il funzionamento. Se però una schermata ben organizzata è utile, ancora di più lo sono le misure che operano sotto il cofano, in profondità.
"Windows Creators Update migliora i nostri sensori di memoria e kernel, attivando la rilevazione di malintenzionati che usano attacchi a livello kernel o in memoria, facendo luce su spazi in precedenza oscuri in cui i malintenzionati si nascondevano dagli strumenti di rilevamento tradizionali. Abbiamo già usato questa nuova tecnologia per rispondere ad attacchi zero day su Windows".
Microsoft continua inoltre ad aggiornare le definizioni di ransomware e altri attacchi avanzati, sfruttando il machine learning e modelli comportamentali per contrastare gli attacchi in costante evoluzione.
"La nostra capacità di rilevamento basata sulla cronologia assicura che le nuove regole di rilevazione si applichino fino a sei mesi sui dati archiviati in modo da rilevare attacchi non scovati in precedenza. I clienti possono inoltre aggiungere regole personalizzate di rilevazione o IOC (indicatori di compromissione) per potenziare la libreria".
Microsoft ha anche rivisto il portale Windows Defender ATP per offrire maggiori informazioni a colpo d'occhio sulle attività sospette in corso sull'intera rete e i vari sistemi. "La nostra pagina di avviso include un nuovo processo di visualizzazione ad albero che aggrega più rilevazioni e relativi eventi in una singola schermata, aiutando i team di sicurezza a ridurre il tempo di risoluzione dei casi fornendo l'informazione richiesta senza lasciare la pagina di avviso".
Gli operatori di sicurezza possono così dare la caccia alle prove di attacchi, come i nomi file o hash, indirizzi IP o URL, comportamenti, sistemi o utenti. Possono farlo immediatamente cercando nell'inventario cloud dell'organizzazione, in tutti i sistemi - e andando indietro fino a 6 mesi nel tempo - anche se i sistemi sono offline o non esistono più.
Inoltre, qualora venisse rilevato un attacco, i responsabili della sicurezza possono agire immediatamente isolando le macchine, escludendo i file dalla rete, uccidendo e mettendo in quarantena processi o file, o recuperando un pacchetto d'informazioni da un sistema per fornire prove forensi, il tutto tramite un clic.