O bom, o mau ou o feio?

Criamos um novo serviço que pode fornecer um dossiê detalhado sobre qualquer arquivo encontrado por nossos produtos.

Se está construindo um sistema para categorização de softwares, gateways seguros ou gerencia uma equipe de resposta a incidentes, você sabe que as informações que podem ser encontradas em um arquivo nem sempre são suficientes. Às vezes é útil saber a URL de onde ele foi baixado, informações sobre o produto correspondente e seu fornecedor, assim como, dados sobre assinaturas digitais e certificados ou estatísticas.

Onde você pode encontrar esses dados para aprimorar sua solução ou serviço de segurança? Serviços de Whitelisting – lista de serviços confiáveis – contêm apenas informações sobre softwares legítimos. Feeds de ameaças baseados em fluxos podem ajudar a capturar uma ameaça, mas não fornecem os detalhes necessários para análise forense. É por isso que decidimos desenvolver um novo serviço, que permite o acesso ao nosso conhecimento sobre qualquer arquivo, seja bom, mau ou mais ou menos.

O Kaspersky Online File Reputation é capaz de fornecer um dossiê detalhado sobre qualquer arquivo encontrado pelos sistemas da Kaspersky Lab. Aqui estão os principais benefícios:

• Até agora, possui dados sobre mais de 5 bilhões de arquivos (cerca de metade são completamente seguros, mais de 1 bilhão maliciosos, e o resto pertence a uma zona cinzenta – potencialmente maliciosos por uma variedade de motivos);
• Pode ser usado sem a instalação de qualquer software adicional (especialmente vantajoso para as complicações geopolíticas de alguns países): você envia os metadados (hashs) de cada arquivo para nossos servidores e recebe seu perfil – ou apenas atualizações;
• Você pode escolher o nível de detalhamento de acordo com suas necessidades. Se implementar cenários de Permissão Padrão ou Negação Padrão, ainda assim pode se inscrever para receber apenas um veredito. Se o objetivo é categorizar, podemos adicionar informações sobre como o arquivo foi categorizado automaticamente pelos nossos sistemas. E se for analisar ciberameaças em um centro de operações de segurança, talvez precise de dossiês completos. Nesse caso, podemos oferecer mais de 50 aspectos – quando o arquivo foi encontrado pela primeira vez, a frequência de detecção em seu país, que padrões foram usados, e muito mais.

Ser capaz de verificar alguns desses aspectos é algo bastante raro. Por exemplo, se encontrar um arquivo “ainda-desconhecido”, mas assinado digitalmente, podemos dar informações com base nas impressões digitais do certificado, que podem ser enviadas com o hash do arquivo. Nosso serviço vai determinar de quem é o certificado, verificar se foi roubado ou já expirou, e devolver um parecer sobre a confiabilidade do arquivo – mesmo que ninguém o tenha visto antes. Isso pode soar um pouco estranho, mas lembre-se que algumas empresas fornecem instaladores únicos e assinados aos seus clientes. Google e Dropbox funcionam assim e, até o Microsoft Windows gera arquivos únicos para cada computador.

A capacidade média de rendimento do serviço é de 200 mil solicitações por hora, mas isso também pode ser ajustado às necessidades do cliente. Quer saber mais ou já mergulhar de cabeça? Pode dar o pontapé inicial na página do serviço.

Dicas