Microsoft legt uit waarom Defender malware tijdens test miste
Het Duitse testlab AV-Test publiceerde onlangs de resultaten van een anti-virustest waarbij Windows Defender twee van de 5680 gebruikte malware-exemplaren miste. Hierdoor haalde de virusscanner die standaard in Windows 10 zit ingebouwd niet de maximale score voor de detectie van malware.
Aanleiding voor Microsoft om een uitleg te geven (pdf). Bij de detectie van malware werd gekeken naar 196 "zero-day" malware-exemplaren en bijna 5500 malware-exemplaren die in de laatste vier weken voor de test werden ontdekt. Zero-day malware is in de definitie van AV-Test onbekende, nieuwe malware. Op dit onderdeel miste Windows Defender de twee malware-exemplaren.
Het eerste exemplaar werd door Windows Defender gedetecteerd, maar door een bug die zich in bepaalde gevallen kon voordoen werd de malware niet volledig verwijderd. Het gedrag van de tweede malware werd niet als kwaadaardig beschouwd. Microsoft zegt de bug te hebben verholpen en heeft nieuwe gedragstriggers toegevoegd om malware zoals het tweede exemplaar te detecteren.
Naast de detectie van malware werd Windows Defender ook getest op 'false positives'. In deze gevallen beschouwt de virusscanner schone software als malware of schone websites als besmet. Windows Defender ging in totaal bij zeven schone bestanden de fout in. Al deze bestanden waren niet gesigneerd door de ontwikkelaar en drie ervan waren in maart en april niet bij Windows Defender-gebruikers waargenomen. Twee van de bestanden zijn daadwerkelijk bij zakelijke Windows Defender-gebruikers geblokkeerd. Het ging in totaal om twaalf machines.
Volgens Microsoft hoeft het verkeerd classificeren tijdens een synthetische test niet meteen te duiden op missers in echte scenario's. "We hebben gevallen zien waarbij een klant een schoon programma via de website van de leverancier downloadde. Wanneer een tester echter het bestand een willekeurige naam geeft, het mark of the web verwijdert en het bestand niet downloadt van de website van de leverancier, kunnen onze agressievere machinelearningmodellen bestanden blokkeren dat in het echt niet zou gebeuren", aldus Microsoft.
spin spin spin draaien in de ronde en spin
en die laatste paragraaf is onduidelijk en op meerdere manieren te lezen (oh, ik vraag dus niemand mij hun persoonlijke interpretatie te geven, ik constateer dat die paragraaf onduidelijk).
spin spin spin draaien in de ronde en spin
en die laatste paragraaf is onduidelijk en op meerdere manieren te lezen (oh, ik vraag dus niemand mij hun persoonlijke interpretatie te geven, ik constateer dat die paragraaf onduidelijk).
https://blogs.msdn.microsoft.com/ieinternals/2011/03/23/understanding-local-machine-zone-lockdown/
Verder is die alinea duidelijk als je het originele document erbij pakt en niet alleen kijkt naar het deel dat hier is geciteerd. Dat doe je toch hopelijk voor je besluit dat een geciteerde partij onduidelijk is? Ze hebben het erover dat niet alleen de bytes in een bestand een basis zijn voor een beoordeling maar ook de context, bijvoorbeeld waar een bestand vandaan komt (website van een bekende leverancier bijvoorbeeld) en de naam die het bestand bij die leverancier heeft. Als een test zo is opgezet kan een fout-positief optreden (het blokkeren in de laatste zin van het artikel) die in de praktijk nauwelijks voorkomt.
Ik vind de spin wel meevallen, dit ziet eruit alsof ze reageren op de test en verklaringen aandragen voor wat je daar ziet.
En die verklaringen zijn best informatief. De leveranciers die in die test beter scoren zijn kennelijk in staat zijn om die hogere score te halen zonder de contextuele informatie waar Microsoft's benadering van afhangt. Daaruit leid ik af dat hun inhoudelijke scans kennelijk geavanceerder zijn dan die van Microsoft. Als deze leveranciers daarnaast ook gebruik maken van die contextuele informatie (geen idee of dat zo is) dan zou het wel eens kunnen dat ze nog een slag beter zijn dan Microsoft maar dat een test met een kleine 6000 malware-exemplaren niet groot genoeg is om die verschillen nog zichtbaar te maken.
spin spin spin draaien in de ronde en spin
en die laatste paragraaf is onduidelijk en op meerdere manieren te lezen (oh, ik vraag dus niemand mij hun persoonlijke interpretatie te geven, ik constateer dat die paragraaf onduidelijk).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.