Wenn Sie ein System zur Software-Kategorisierung oder sichere Gateways erstellen oder an einem Incident-Response-Team arbeiten, wissen Sie sehr wahrscheinlich, dass die Informationen, die in einer Datei selbst gefunden werden können, nicht immer ausreichend sind. In einigen Fällen kann es beispielsweise sehr nützlich sein, die öffentliche Download-URL, Informationen über das entsprechende Produkt und dessen Anbieter, Daten zu digitalen Signaturen und Zertifikaten oder statistische Informationen zu kennen.
Aber wie und wo kommen Sie an diese Informationen, um Ihre sicherheitsrelevante Lösung oder Ihren Dienst zu verbessern? Allowlisting-Dienste enthalten ausschließlich Informationen über legitime Software; Stream-basierte Threat-Feeds hingegen können zwar dabei behilflich sein, eine Bedrohung ausfindig zu machen, dennoch fehlen ihnen die für die Forensik erforderlichen Details. Aus diesem Grund haben wir uns dazu entschlossen, einen neuen Service ins Leben zu rufen, der Nutzern unser Wissen über eine beliebige Datei (ganz egal, ob gut- oder bösartig) zur Verfügung stellt.
Unsere neue Lösung, Kaspersky Online File Reputation, kann Sie mit einem ausführlichen Dossier zu allen Dateien versorgen, mit denen unsere Kaspersky Lab-Systeme jemals in Berührung gekommen sind. Wir haben einige der Hauptvorteile unserer neuen Serviceleistung für Sie zusammengefasst:
- Kaspersky Online File Reputation umfasst derzeit Daten von mehr als 5 Milliarden Dateien (ungefähr die Hälfte dieser Dateien sind komplett harmlos, mehr als 1 Milliarde definitiv bösartig und der Rest befindet sich in einer Grauzone);
- Unser Service kann ohne die Installation zusätzlicher Software verwendet werden (was im Hinblick auf mögliche geopolitische Komplikationen in einigen Ländern besonders vorteilhaft ist): Sie müssen lediglich die Metadaten einer beliebigen Datei (Hash) an unsere Server senden und erhalten daraufhin ihr Profil – oder regelmäßige Updates;
- Sie können den Detaillierungsgrad ganz auf Ihre Bedürfnisse abstimmen. Wenn Sie beispielsweise den Modus „standardmäßig erlauben“ bzw. „standardmäßig verweigern“ implementieren, können Sie auch weiterhin lediglich unser Urteil zu spezifischen Dateien erhalten. Wenn Sie für die Kategorisierung zuständig sind, können wir darüber hinaus Daten über die von unseren Systemen automatisch kategorisierte Datei zur Verfügung stellen. Wenn Sie Cyberbedrohungen in einem Security Operations Center analysieren, benötigen Sie möglicherweise vollständige Dateidossiers. In diesem Fall können wir mit mehr als 50 Dateieigenschaften behilflich sein; unter anderem, wann die Datei zum ersten Mal aufgetreten ist, wie oft sie in Ihrem Land auftaucht, welche Container verwendet wurden, uvm.
Wenn Sie darüber hinaus beispielsweise auf eine noch unbekannte, aber digital signierte Datei stoßen, können wir Informationen basierend auf dem digitalen Fingerabdruck des Zertifikats, das mit dem Hash der Datei gesendet werden kann, zur Verfügung stellen. Kaspersky Online File Reputation stellt dann fest, zu wem das Zertifikat gehört, ob es gestohlen wurde oder abgelaufen ist, und gibt darauf basierend ein Urteil darüber ab, ob die Datei vertrauenswürdig ist oder nicht. Das mag auf den ersten Blick vielleicht ein wenig seltsam klingen, aber bedenken Sie, dass einige Unternehmen individuell signierte Installer an ihre Kunden herausgeben. Nicht nur Google und Dropbox funktionieren auf diese Weise, sondern auch Microsoft Windows generiert individuelle Dateien für jeden PC.
Die durchschnittliche Datendurchsatzleistung von Kaspersky Online File Reputation beträgt 200.000 Anfragen pro Stunde, kann aber auch an die Bedürfnisse des Kunden angepasst werden. Wenn Sie mehr über unseren Service erfahren oder direkt loslegen möchten, werfen Sie einen Blick auf diese Homepage.