¿El bueno, el feo o el malo?

18 Jul 2018
Empresas

Si estás desarrollando un sistema para la categorización de software, aseguras puertas de enlace o trabajas en un equipo de respuesta a incidentes, sabes que la información que se encuentra en un archivo no siempre es suficiente. A veces viene bien conocer la URL pública desde la cual se descargó, la información sobre el proveedor y el producto correspondiente, los datos que aparecen en los certificados y firmas digitales o la información estadística.

¿Dónde puedes obtener dicha información para mejorar tu solución o servicio relacionado con la seguridad? Los servicios de listas blancas solo contienen información sobre software legítimo. Las fuentes de amenazas basadas en streaming pueden ayudar a detectar una amenaza, pero no cuentan con los datos necesarios para un análisis forense. Por ello, hemos decidido crear un nuevo servicio que pueda proporcionar acceso a nuestro conocimiento sobre cualquier archivo, ya sea bueno, malo o intermedio.

Este nuevo servicio, Kaspersky Online File Reputation, puede proporcionar un expediente detallado sobre cualquier archivo que hayan encontrado los sistemas de Kaspersky Lab. Estos son sus beneficios principales:

  • Actualmente contiene información sobre más de 5 mil millones de archivos (más o menos una mitad son seguros, más de mil millones maliciosos y el resto están en una zona intermedia, potencialmente maliciosos por diversas razones).
  • Se puede utilizar sin instalar software adicional (lo cual es muy beneficioso para las complicaciones geopolíticas de algunos países). Tienes que enviar cada metadato del archivo (hash) a nuestros servidores para conseguir la información o recibir actualizaciones periódicas.
  • Puedes elegir el nivel de precisión según tus necesidades. Si implementas modos predeterminados de permiso o de denegación, todavía puedes suscribirte para recibir solo un veredicto. Si te dedicas a la categorización, podemos añadir datos sobre cómo han categorizado nuestros sistemas el archivo de forma automática. Y, si estás analizando ciberamenazas en un centro de operaciones de seguridad, puedes necesitar expedientes de archivos completos. En ese caso, podemos proporcionar más de 50 características del archivo, como cuándo se encontró por primera vez, con qué frecuencia aparece en tu país, qué contenedores utiliza y mucho más.

No es fácil poder acceder a este tipo de información, pero con nuestro servicio, si encuentras un archivo todavía desconocido, pero firmado digitalmente, obtendrás información basada en la huella digital del certificado, que puede haber sido enviada con el archivo hash. Kaspersky Online File Reputation determinará de quién es el certificado, comprobará si se ha robado o ha expirado y devolverá un veredicto sobre si el archivo puede ser de confianza o no, incluso aunque nadie lo haya visto antes. Puede sonar raro, pero ten en cuenta que algunas compañías ofrecen a sus clientes instaladores únicos y firmados. Google y Dropbox trabajan de esta forma e incluso Microsoft Windows genera archivos únicos para cada PC.

La capacidad de rendimiento media del servicio es de 200.000 solicitudes por hora, pero esto también se puede ajustar a las necesidades del cliente. ¿Quieres conocer más sobre el tema? Entra en la página del servicio y contáctanos.