Se está construindo um sistema para categorização de softwares, gateways seguros ou gerencia uma equipe de resposta a incidentes, você sabe que as informações que podem ser encontradas em um arquivo nem sempre são suficientes. Às vezes é útil saber a URL de onde ele foi baixado, informações sobre o produto correspondente e seu fornecedor, assim como, dados sobre assinaturas digitais e certificados ou estatísticas.
Onde você pode encontrar esses dados para aprimorar sua solução ou serviço de segurança? Serviços de Whitelisting – lista de serviços confiáveis – contêm apenas informações sobre softwares legítimos. Feeds de ameaças baseados em fluxos podem ajudar a capturar uma ameaça, mas não fornecem os detalhes necessários para análise forense. É por isso que decidimos desenvolver um novo serviço, que permite o acesso ao nosso conhecimento sobre qualquer arquivo, seja bom, mau ou mais ou menos.
O Kaspersky Online File Reputation é capaz de fornecer um dossiê detalhado sobre qualquer arquivo encontrado pelos sistemas da Kaspersky Lab. Aqui estão os principais benefícios:
• Até agora, possui dados sobre mais de 5 bilhões de arquivos (cerca de metade são completamente seguros, mais de 1 bilhão maliciosos, e o resto pertence a uma zona cinzenta – potencialmente maliciosos por uma variedade de motivos);
• Pode ser usado sem a instalação de qualquer software adicional (especialmente vantajoso para as complicações geopolíticas de alguns países): você envia os metadados (hashs) de cada arquivo para nossos servidores e recebe seu perfil – ou apenas atualizações;
• Você pode escolher o nível de detalhamento de acordo com suas necessidades. Se implementar cenários de Permissão Padrão ou Negação Padrão, ainda assim pode se inscrever para receber apenas um veredito. Se o objetivo é categorizar, podemos adicionar informações sobre como o arquivo foi categorizado automaticamente pelos nossos sistemas. E se for analisar ciberameaças em um centro de operações de segurança, talvez precise de dossiês completos. Nesse caso, podemos oferecer mais de 50 aspectos – quando o arquivo foi encontrado pela primeira vez, a frequência de detecção em seu país, que padrões foram usados, e muito mais.
Ser capaz de verificar alguns desses aspectos é algo bastante raro. Por exemplo, se encontrar um arquivo “ainda-desconhecido”, mas assinado digitalmente, podemos dar informações com base nas impressões digitais do certificado, que podem ser enviadas com o hash do arquivo. Nosso serviço vai determinar de quem é o certificado, verificar se foi roubado ou já expirou, e devolver um parecer sobre a confiabilidade do arquivo – mesmo que ninguém o tenha visto antes. Isso pode soar um pouco estranho, mas lembre-se que algumas empresas fornecem instaladores únicos e assinados aos seus clientes. Google e Dropbox funcionam assim e, até o Microsoft Windows gera arquivos únicos para cada computador.
A capacidade média de rendimento do serviço é de 200 mil solicitações por hora, mas isso também pode ser ajustado às necessidades do cliente. Quer saber mais ou já mergulhar de cabeça? Pode dar o pontapé inicial na página do serviço.