19/07/2018

Dobry, zły czy (jeszcze) neutralny?

Biznes MŚP

Jeśli tworzysz system do kategoryzowania oprogramowania, tworzysz bezpieczne bramy lub pracujesz nad utworzeniem zespołu ds. reagowania na incydenty, wiesz, że informacje, które można znaleźć w pliku, nie zawsze są wyczerpujące. Czasami dobrze jest wiedzieć, z jakiego publicznego adresu plik został pobrany, z jakim produktem i producentem jest powiązany, pomocne mogą być też dane na temat podpisów cyfrowych i certyfikatów, a także informacje o statystykach.

Skąd możesz uzyskać takie informacje w celu rozszerzenia funkcjonalności swojego produktu lub usługi związanej z ochroną? Usługi wykorzystujące białe listy zawierają tylko informacje o legalnym oprogramowaniu. Przesyłane strumieniowo informacje o zagrożeniach mogą pomóc w zidentyfikowaniu zagrożenia, ale brakuje w nich szczegółowych informacji potrzebnych do analizy. Dlatego zdecydowaliśmy się utworzyć nową usługę, która umożliwia dostęp do naszej bazy zawierającej informacje na temat każdego pliku — czy jest on nieszkodliwy, szkodliwy czy neutralny.

Tą nową usługą jest Kaspersky Online File Reputation — może ona dostarczać szczegółowych informacji na temat dowolnego pliku, z którym miały do czynienia systemy Kaspersky Lab. Oto najważniejsze zalety tej usługi:

  • Na tę chwilę zawiera ona dane na temat ponad 5 miliardów plików (około połowa z nich jest całkowicie bezpieczna, ponad 1 miliard plików jest zdecydowanie szkodliwy, a reszta jest określana jako szara strefa, czyli są one potencjalnie szkodliwe z jakichś powodów).
  • Korzystanie z niej nie wymaga zainstalowania żadnego dodatkowego oprogramowania (jest to szczególnie korzystne z punktu widzenia komplikacji geopolitycznych w niektórych krajach): wysyłasz metadane każdego pliku (hash) na nasze serwery, a w zamian otrzymujesz ich profil lub regularne otrzymujesz same aktualizacje.
  • Możesz określić poziom szczegółowości. Jeśli zastosujesz tryb domyślnego zezwolenia lub tryb domyślnej odmowy, nadal możesz subskrybować otrzymywanie samego werdyktu. Jeśli pracujesz nad kategoryzacją, możemy dodać informacje na temat tego, w jaki sposób plik został automatycznie skategoryzowany przez nasze systemy. A jeśli analizujesz cyberzagrożenia w centrum operacji bezpieczeństwa (ang. security operations center), możesz potrzebować pełnej dokumentacji na temat pliku. Wówczas możemy dostarczyć Ci ponad 50 aspektów z nim związanych — kiedy plik został dostrzeżony po raz pierwszy, z jaką częstotliwością występuje w danym kraju, które kontenery zostały użyte i wiele więcej.

Rzadko ma się możliwość sprawdzenia niektórych z tych aspektów. Na przykład jeśli napotkasz jeszcze nieznany, lecz podpisany cyfrowo plik, możemy dostarczyć Ci informacji na podstawie cyfrowego odcisku palca tego certyfikatu wraz ze skrótem pliku. Nasza usługa określi, do kogo należy ten certyfikat, sprawdzi, czy nie został skradziony oraz czy jest aktualny, a także wyda werdykt, czy dany plik można uznać za zaufany — nawet jeśli nikt go nigdy wcześniej nie widział. Warto pamiętać, że niektóre firmy dają swoim klientom unikatowe, podpisane instalatory. Tak działają Google i Dropbox, a nawet Microsoft Windows generuje unikatowe pliki dla każdego komputera PC.

Przeciętna przepustowość usługi wynosi 200 tys. zapytań na godzinę, jednak można ją dostosować do potrzeb klienta. Więcej informacji znajduje się na stronie usługi.