Каждому файлу — личное дело!

10 августа 2018

Подноготная файла может интересовать многих. Компании, производящие софт для контроля приложений или контентной фильтрации, провайдеров сервисов безопасности, создателей шлюзов или почтовых серверов, экспертов, занимающиеся расследованием киберинцидентов, да и мало ли кого еще. В идеале им бы было полезно, чтобы каждый файл можно было допросить с пристрастием и выяснить, кем он создан, опасен ли он, что он собой вообще представляет и так далее.

К сожалению, файлы редко идут на контакт с людьми. Поэтому всем заинтересованным приходится получать информацию о них из сторонних источников: поставщиков потоков данных о вредоносных объектах или из «белых списков» — подборок заведомо безопасных программ. Мы долгое время предоставляли обе эти услуги. И внезапно нам пришла в голову интересная идея: а почему бы не предоставлять желающим доступ к нашим знаниям?

В результате мы создали новый сервис Kaspersky Online File Reputation, который может предоставить метаданные на любой файл, с которым сталкивались системы «Лаборатории Касперского». На данный момент в нашей коллекции более 5 миллиардов досье — где-то половина из них на безопасные файлы, более одного миллиарда — гарантированно опасные, а остальные находятся в серой зоне. То есть файлы, информации по которым недостаточно, или объекты, которые при определенных условиях могут быть использованы со злым умыслом.

По сути, сервис этот эволюционировал из Whitelisting, одного из самых подробных и точных репутационных сервисов, вероятно, с самой большой базой «белых» файлов. В среднем пропускная способность нашего сервиса — 200 000 запросов в час, но при необходимости она может масштабироваться.

Прелесть сервиса в том, что им можно пользоваться, не устанавливая на своей стороне никаких дополнительных продуктов (а это особенно актуально в свете геополитических осложнений в некоторых странах). По сути, вы либо получаете обновления данных, либо отправляете метаданные файла на наши серверы и получаете его «личное дело».

Степень детальности выбирается в зависимости от ваших задач. Если вас интересует режим Default Allow или Default Deny, то можно получать только вердикт. Занимаетесь категоризацией объектов (например, для ограничения доступа с рабочих мест)? Можем высылать категорию, к которой файл отнесла наша система. Ну, а если вы занимаетесь анализом угроз в SOC, то вам могут потребоваться более полные данные. В самом подробном варианте более 50 полей — данные о создателях, контейнерах, связанных с ним сайтах, с которых он был скачен, и многое другое, в том числе и достаточно узкоспециализированные моменты.

Например, если нам встретится пока незнакомый, но подписанный цифровым сертификатом файл, то мы сможем предоставить данные по «цифровому отпечатку» сертификата, который передается вместе с хешем самого файла. Наш сервис определит, чья это подпись, проверит, не украдена ли она, не истекла ли, и выдаст вердикт, что файл доверенный, несмотря на то, что никто и никогда такой файл не встречал. Звучит странно, но на самом деле некоторые компании выдают пользователям не готовые билды программ, а уникальные, но подписанные инсталляторы. Например, так работает Google и Dropbox. Да и Microsoft Windows генерирует уникальные для каждой машины файлы.

Хотите узнать больше или воспользоваться услугами сервиса? Добро пожаловать на официальную страничку сервиса.