К сожалению, файлы редко идут на контакт с людьми. Поэтому всем заинтересованным приходится получать информацию о них из сторонних источников: поставщиков потоков данных о вредоносных объектах или из «белых списков» — подборок заведомо безопасных программ. Мы долгое время предоставляли обе эти услуги. И внезапно нам пришла в голову интересная идея: а почему бы не предоставлять желающим доступ к нашим знаниям?
В результате мы создали новый сервис Kaspersky Online File Reputation, который может предоставить метаданные на любой файл, с которым сталкивались системы «Лаборатории Касперского». На данный момент в нашей коллекции более 5 миллиардов досье — где-то половина из них на безопасные файлы, более одного миллиарда — гарантированно опасные, а остальные находятся в серой зоне. То есть файлы, информации по которым недостаточно, или объекты, которые при определенных условиях могут быть использованы со злым умыслом.
По сути, сервис этот эволюционировал из Whitelisting, одного из самых подробных и точных репутационных сервисов, вероятно, с самой большой базой «белых» файлов. В среднем пропускная способность нашего сервиса — 200 000 запросов в час, но при необходимости она может масштабироваться.
Прелесть сервиса в том, что им можно пользоваться, не устанавливая на своей стороне никаких дополнительных продуктов (а это особенно актуально в свете геополитических осложнений в некоторых странах). По сути, вы либо получаете обновления данных, либо отправляете метаданные файла на наши серверы и получаете его «личное дело».
Степень детальности выбирается в зависимости от ваших задач. Если вас интересует режим Default Allow или Default Deny, то можно получать только вердикт. Занимаетесь категоризацией объектов (например, для ограничения доступа с рабочих мест)? Можем высылать категорию, к которой файл отнесла наша система. Ну, а если вы занимаетесь анализом угроз в SOC, то вам могут потребоваться более полные данные. В самом подробном варианте более 50 полей — данные о создателях, контейнерах, связанных с ним сайтах, с которых он был скачен, и многое другое, в том числе и достаточно узкоспециализированные моменты.
Например, если нам встретится пока незнакомый, но подписанный цифровым сертификатом файл, то мы сможем предоставить данные по «цифровому отпечатку» сертификата, который передается вместе с хешем самого файла. Наш сервис определит, чья это подпись, проверит, не украдена ли она, не истекла ли, и выдаст вердикт, что файл доверенный, несмотря на то, что никто и никогда такой файл не встречал. Звучит странно, но на самом деле некоторые компании выдают пользователям не готовые билды программ, а уникальные, но подписанные инсталляторы. Например, так работает Google и Dropbox. Да и Microsoft Windows генерирует уникальные для каждой машины файлы.
Источник
Batafsil | Подробно | Read more... InfoCOM
Related News
Top News
-
Samarqandda haydovchidan pora so‘ragan YPX xodimlari ishdan bo‘shatildi.
Ularning rahbarlariga nisbatan intizomiy ta’sir choralari qo‘llangan..
-
Toshkentda sovuq qutili aravalarda sotilayotgan muzqaymoqlar bo‘yicha reyd o‘tkazildi.
Sanepidqo‘m Toshkent shahar boshqarmasi ko‘chalarda g‘ildirakli aravalarda muzqaymoqlar sotilishida sanitariya talablariga rioya etilishi holati...
-
«Samarqand - Toshkent - Samarqand” yo‘nalishida qo‘shimcha poyezdlar harakatlanadi.
3, 4, 5 may kunlari Samarqanddan Toshkentgacha «Afrosiyob» poyezdlarining 2 tomonlama harakati yo‘lga qo‘yiladi. «O‘ztemiryo‘lyo‘lovchi» AJ reyslar...
-
Мбаппе "Боруссия" стадионида қолиб кетди
"ПСЖ" ҳужумчиси Килиан Мбаппе Дортмунднинг "Боруссия" клуби стадионида қолишга мажбур бўлди.
-
"Барселона"нинг ёздаги асосий мақсади маълум бўлди
Мавсум охирида "Барселона" биринчи навбатда таянч ярим ҳимоячиси позициясини мустаҳкамламоқчи.
-
Xitoy AQShning yangi sanksiyalarini «noqonuniy» deb atadi.
AQShning Kremlga qarshi joriy qilgan yangi sanksiyalar paketiga Xitoy va Hongkongda ro‘yxatdan o‘tgan 20 ta kompaniya ham kiritilgan..