Pod koniec zeszłego i na początku tego roku Windows Defender osiągnął rekordowe dla siebie wyniki w dwóch niezależnych testach skuteczności. Wyniki te właściwie nie mogły być już lepsze, bowiem wynosiły 100%, podczas gdy średnia branżowa oscyluje w granicach 99,5%-99,9%. „To zbyt piękne, by mogło być prawdziwe” - pomyślą niektórzy. Cóż, Microsoft postanowił rozwiać wątpliwości i objaśnić, w jaki sposób Windows Defenderowi udało się osiągnąć ten kamień milowy.
Microsoft postanowił podzielić się własnymi wglądami i dostarczyć poziom transparentności do wyników testów ze stycznia-lutego, przeprowadzonych przez niezależnego testera antywirusów, AV-TEST. Ma to na celu poszerzenie wniosków z testu o informacje kontekstowe, dzięki którym klienci staną się lepiej poinformowani i będą mogli podejmować lepsze decyzje w związku z adaptacją Windows Defender Advanced Threat Protection (Windows Defender ATP). Raport o transparentności wyjaśnia trzy kwestie - ochronę, użyteczność (błędy pierwszego rodzaju/false positives) i wydajność. Jak wyjaśnia Microsoft:
- W zakresie ochrony (Protection) Windows Defender Antivirus (AV) osiągnął idealny wynik i utrzymuje stale najwyższe wyniki w tej kategorii.
- W zakresie użyteczności Windows Defender AV osiągnął poprawiony wynik 5,5/6,0. Z telemetrii Microsoftu wynika, że próbki, które Windows Defender sklasyfikował niepoprawnie (jako false positives) mają bardzo niski stopień powszechności występowania i nie są powszechnie używane w kontekście biznesowym.
- W zakresie wydajności Windows Defender AV także poprawił swój wynik, który wyniósł 5,5/6,0. Pod względem wydajności na niemal wszystkich obszarach sprawował się lepiej, niż reszta w branży. Rezultaty te mają być odzwierciedleniem inwestycji, które Microsoft powziął w celu optymalizacji wydajności Windows Defender AV względem często wykonywanych akcji, np. uruchamiania aplikacji.
Niezależne testy mogą wspomóc ocenę zabezpieczeń, jakie oferują pakiety chroniące, ale - jak pisze Microsoft - "ważne jest, by zrozumieć, że testy antywirusów są tylko częścią procesu kompletnej oceny jakości". Innymi słowy, w rzeczywistości trzeba wziąć jeszcze pod uwagę serię innych czynników. Przykładowo, podczas gdy Windows Defender ATP jako antywirus osiągnął idealny wynik całościowy w kategorii ochrony ze stycznia-lutego i pomylił się tylko co do dwóch próbek spośród kilku tysięcy, Microsoft twierdzi, że jego wydajność była nawet lepsza, niż sugerował test.
Otóż zespół Windows Defender Security Intelligence wziął pod lupę dwie "brakujące" próbki i postawił je przed całym stosem Windows Defender ATP, by sprawdzić, czy będą w stanie zainfekować maszyny w środowiskach firmowych z prawdziwego zdarzenia. Sprawdzono, że te dwie próbki zostały rozpoznane i zatrzymane przez inne komponenty wchodzące w skład ATP.
Jak wynika z grafiki, próbki, które przeoczył Windows Defender Antivirus, wyłapały pozostałe komponenty wchodzące w skład ATP, takie jak Windows Defender Smartscreen, Application Control, Application Guard oraz Endpoint Detection and Response. Raport w całości można przeczytać tutaj.
341f31d.png)