正常文件、恶意文件还是灰色文件?

2018 年07 月18日

如果您在构建用于软件分类的系统、建立安全网关或者在事件响应团队中工作,那么您就会知道,仅在文件中找到信息不一定能在所有情况下满足要求。有时候,需要知道从中下载文件的公共URL,了解相应产品及其供应商的信息、数字签名和证书数据或者相关统计信息。

那么可以从哪里获得这类信息,用以提高与安全相关的解决方案或服务呢?白名单服务仅包含合法软件的相关信息。基于流的威胁订阅源可以帮助捕获威胁,但缺少取证所需的详细信息。基于上述理由,我们决定开发一项新服务,用于访问我们收集的任何文件相关信息,不管是正常文件、恶意文件还是灰色地带的文件。

这项新服务名叫”卡巴斯基在线文件信誉”,可以提供卡巴斯基实验室系统所遇到的任何文件的详细档案。下面是此项服务的主要优点:

  • 目前包含50多亿个文件的数据(其中大约一半是完全安全的,超过10亿是绝对恶意的,其余的则处于灰色地带,出于各种原因可能是恶意的);
  • 此服务无需安装其他任何软件就可使用(这对于有着地缘政治复杂性的一些国家尤其有利):您可将每个文件的元数据(哈希)发送到我们的服务器并获取其配置文件 – 或者只接收定期更新;
  • 您可以根据需要选择详细程度。如果您实施的是默认允许或默认拒绝模式,您仍然可以订阅仅接收判定。如果您的任务是分类,我们可以添加有关我们系统如何对文件自动分类的数据。如果您是分析安全操作中心的网络威胁,则可能需要完整的文件档案。对于这种情况,我们可以提供50多个方面的数据 – 第一次发现文件的时间、该文件在您所在国家/地区的出现频率、使用的容器等等。

此项服务在检查其中一些方面的能力十分罕见。例如,如果您发现了未知但有数字签名的文件,我们可以根据证书的数字指纹来提供相关信息,这些信息可以随文件的哈希一起发送。我们的服务将确定证书拥有者、检查证书是否被盗或过期,并返回关于该文件是否可信任的判定 – 就算之前没人见过也不例外。这可能听起来有点奇怪,但别忘了,有些公司会为客户提供独特的签名安装程序。Google和Dropbox就是以这种方式工作的,甚至Microsoft Windows也会为每台PC生成独一无二的文件。

此项服务的平均吞吐能力是每小时200,000个请求,但也可以根据客户的需求进行调整。想要了解更多信息或直接使用?请首先访问服务主页