Положение о Kaspersky Security Network в Kaspersky Endpoint Security 11.0.0 и 11.0.1 для Windows

Статья обновлена: 26 июля 2019 ID: 14325
 
 
 
 

Статья относится к:

  • Kaspersky Endpoint Security 11.0.1 для Windows (версия 11.0.1.90);
  • Kaspersky Endpoint Security 11.0.0 для Windows (версия 11.0.0.6499).
 
 
 
 

ПОЛОЖЕНИЕ О KASPERSKY SECURITY NETWORK (KSN) - Kaspersky Endpoint Security 11 для Windows


Положение о Kaspersky Security Network (далее – Положение о KSN) относится к программному обеспечению Kaspersky Endpoint Security (далее – ПО).

Положение о KSN совместно с Лицензионным соглашением для ПО, в частности в разделе «Условия обработки данных», определяют условия, ответственность и порядок передачи и обработки данных, указанных в Положении о KSN. Внимательно ознакомьтесь с условиями Положения о KSN, а также со всеми документами, ссылки на которые содержит Положение о KSN, перед тем, как принять его.


Если Пользователь включает использование KSN, Пользователь несет ответственность за обеспечение законности обработки персональных данных Субъектов данных, которая определена в применимых законах о конфиденциальной информации, персональных данных, защите данных или аналогичных законах.


Защита и обработка данных

Данные, которые получает Правообладатель от Пользователя при использовании KSN, защищаются и обрабатывается в соответствии с Политикой конфиденциальности Правообладателя, опубликованной по адресу: www.kaspersky.com/Products-and-Services-Privacy-Policy.


Цель использования KSN

Использование KSN может повысить эффективность защиты, предоставляемой ПО, от угроз информационной и сетевой безопасности.

Заявленная цель достигается посредством:

- определения репутации проверяемых объектов;

- выявления новых и сложных для обнаружения угроз информационной и сетевой безопасности, а также их источников;

- оперативного принятия мер по повышению уровня защиты информации, хранимой и обрабатываемой Пользователем с использованием Компьютера;

- уменьшения вероятностей ложных срабатываний;

- повышения эффективности работы компонентов ПО;

- предотвращения инцидентов информационной безопасности и расследования возникших инцидентов;

- улучшения качества работы продуктов Правообладателя;

- получения справочной информации о количестве объектов с известной репутацией.


Обрабатываемые данные

При использовании KSN Правообладатель будет получать и обрабатывать следующие данные в автоматическом режиме:

- информацию о проверяемых файлах и URL-адресах: контрольные суммы проверяемого файла (MD5, SHA2-256, SHA1) и паттернов файла (MD5), размер паттерна, тип обнаруженной угрозы и её название согласно классификации Правообладателя, идентификатор антивирусных баз, URL-адрес, по которому запрашивается репутация, а также URL-адрес страницы, с которой осуществлён переход на проверяемый URL-адрес, идентификатор протокола соединения и номер используемого порта;

- информацию о результатах категоризации запрашиваемых веб-ресурсов, которая содержит проверяемый URL-адрес и IP-адрес хоста, версию компонента ПО, выполнившего категоризацию, способ категоризации и набор категорий, определенных для веб-ресурса;

- идентификатор задачи проверки, в которой обнаружена угроза;

- информацию об используемых цифровых сертификатах, необходимую для проверки их подлинности: контрольные суммы (SHA256) сертификата, которым подписан проверяемый объект, и открытого ключа сертификата;

- информацию об установленном на Компьютере программном обеспечении: название программного обеспечения и его производителей, используемые ключи реестра и их значения, информацию о файлах компонент установленного программного обеспечения (контрольные суммы (MD5, SHA2-256, SHA1), имя, путь к файлу на Компьютере, размер, версию и цифровую подпись), информацию об объектах ядра, драйверах, сервисах, расширениях Microsoft Internet Explorer, расширениях системы печати, расширениях Windows Explorer, элементах Active Setup, апплетах панели управления, записи файла hosts и системного реестра, версии браузеров и почтовых клиентов;

- информацию о состоянии антивирусной защиты Компьютера: версии, даты и время выпуска используемых антивирусных баз, данные статистик обновлений и соединений с сервисами Правообладателя, идентификатор задачи и идентификатор компонента ПО, выполняющего сканирование;

- информацию о загружаемых Пользователем файлах: URL- и IP-адреса, откуда была выполнена загрузка, и страниц загрузки, идентификатор протокола загрузки и номер порта соединения, признак вредоносности адресов, атрибуты и размер файла и его контрольные суммы (MD5, SHA2-256, SHA1), информация о процессе, загрузившем файл (контрольные суммы (MD5, SHA2-256, SHA1), дата и время создания и линковки, признак нахождения в автозапуске, атрибуты, имена упаковщиков, информация о подписи, признак исполняемого файла, идентификатор формата, энтропия), имя файла, путь к файлу на Компьютере, цифровая подпись файла и информация о выполнении подписи, URL-адрес, на котором произошло обнаружение, номер скрипта на странице, оказавшимся подозрительным или вредоносным, информация о выполненных http-запросах и ответах на них;

- информацию о запускаемых программах и их модулях: данные о запущенных процессах в системе (идентификатор процесса в системе (PID), имя процесса, данные об учетной записи, от которой запущен процесс, программе и команде, запустившей процесс, а также признак доверенности программы или процесса, полный путь к файлам процесса и командная строка запуска, уровень целостности процесса, описание продукта, к которому относится процесс (название продукта и данные об издателе), а также данные об используемых цифровых сертификатах и информацию, необходимую для проверки их подлинности, или данные об отсутствии цифровой подписи файла), также информацию о загружаемых в процессы модулях (имя, размер, тип, дата создания, атрибуты, контрольные суммы (MD5, SHA2-256, SHA1), путь), информация заголовка PE-файлов, названия упаковщика (если файл был упакован);

- информацию обо всех потенциально вредоносных объектах и действиях: название детектируемого объекта и полный путь к объекту на Компьютере, контрольные суммы обрабатываемых файлов (MD5, SHA2-256, SHA1), дата и время обнаружения, названия и размер зараженных файлов и пути к ним, код шаблона пути, признак, является ли объект контейнером, названия упаковщика (если файл был упакован), код типа файла, идентификатор формата файла, перечень активностей вредоносной программы и решения ПО и Пользователя по ним, идентификатор антивирусных баз, на основании которого было вынесено решение ПО, название обнаруженной угрозы согласно классификации Правообладателя, степень опасности, статус и способ обнаружения, причина включения в анализируемый контекст и порядковый номер файла в контексте, контрольные суммы (MD5, SHA2-256, SHA1), имя и атрибуты исполняемого файла приложения, через которое прошло зараженное сообщение или ссылка, обезличенные IP-адреса (IPv4 и IPv6) хоста заблокированного объекта, энтропия файла, признак нахождения файла в автозапуске, время первого обнаружения файла в системе, количество запусков файла с момента последней отправки статистик, информация о названии, контрольных суммах (MD5, SHA2-256, SHA1) и размере почтового клиента, через который был получен вредоносный объект, идентификатор задачи ПО, которое выполнило проверку, признак проверки репутации или подписи файла, результат обработки файла, контрольная сумма (MD5) паттерна, собранного по объекту, и размер паттерна в байтах, технические характеристики по применяемым технологиям детектирования;

- информацию о проверенных объектах: присвоенную группу доверия, в которую помещен и/или из которой перемещен файл, причина, по которой файл помещен в данную категорию, идентификатор категории, информация об источнике категорий и версии базы категорий, признак наличия у файла доверенного сертификата, название производителя файла, версия файла, имя и версия приложения, частью которого является файл;

- информацию об обнаруженных уязвимостях: идентификатор уязвимости в базе уязвимостей, класс опасности уязвимости и статус обнаружения;

- информацию о выполнении эмуляции исполняемого файла: размер файла и его контрольные суммы (MD5, SHA2-256, SHA1), версия компонента эмуляции, глубина эмуляции, вектор характеристик логических блоков и функций внутри логических блоков, полученный в ходе эмуляции, данные из структуры PE-заголовка исполняемого файла;

- информацию о сетевых атаках: IP-адреса атакующего компьютера (IPv4 и IPv6), номер порта Компьютера, на который была направлена сетевая атака, идентификатор протокола IP-пакета, в котором зафиксирована атака, цель атаки (название организации, веб-сайт), флаг реакции на атаку, весовой уровень атаки, значение уровня доверия;

- информацию об атаках, связанных с подменой сетевых ресурсов, DNS- и IP-адреса (IPv4 или IPv6) посещаемых веб-сайтов;

- DNS- и IP-адреса (IPv4 или IPv6) запрашиваемого веб-ресурса, информация о файле и веб-клиенте, обращающемся к веб-ресурсу, название, размер, контрольные суммы (MD5, SHA2-256, SHA1) файла, полный путь к нему и код шаблона пути, результат проверки его цифровой подписи и его статус в KSN;

- информацию о выполнении отката деятельности вредоносной программы: данные о файле, активность которого откатывается (имя файла, полный путь к нему, его размер и контрольные суммы (MD5, SHA2-256, SHA1)), данные об успешных и неуспешных действиях по удалению, переименованию и копированию файлов и восстановлению значений в реестре (имена ключей реестра и их значения), информация о системных файлах, изменённых вредоносной программой, до и после выполнения отката;

- информацию о загружаемых ПО модулях: название, размер и контрольные суммы (MD5, SHA2-256, SHA1) файла модуля, полный путь к нему и код шаблона пути, параметры цифровой подписи файла модуля, дата и время создания подписи, название субъекта и организации, подписавших файл модуля, идентификатор процесса, в который был загружен модуль, название поставщика модуля, порядковый номер модуля в очереди загрузки;

- служебную информацию о работе ПО: версию компилятора, признак потенциальной вредоносности проверенного объекта, версия набора передаваемых статистик, информация о наличии и валидности данных статистики, идентификатор условия формирования передаваемой статистики, признак работы ПО в интерактивном режиме;

- в случае обнаружения потенциально вредоносного объекта предоставляется информация о данных в памяти процессов: элементы иерархии системных объектов (ObjectManager), данные памяти UEFI BIOS, названия ключей реестра и их значения;

- информацию о событиях в системных журналах: время события, название журнала, в котором обнаружено событие, тип и категория события, название источника события и его описание;

- информацию о сетевых соединениях: версия и контрольные суммы (MD5, SHA2-256, SHA1) файла процесса, открывшего порт, путь к файлу процесса и его цифровая подпись, локальный и удалённый IP-адреса, номера локального и удалённого портов соединения, состояние соединения, время открытия порта;

- информацию о дате установки и активации ПО на Компьютере: тип установленной лицензии и срок её действия, идентификатор партнера, у которого приобретена лицензия, серийный номер лицензии, тип установки ПО на Компьютере (первичная установка, обновление и т.д.), признак успешности установки или номер ошибки установки, уникальный идентификатор установки ПО на Компьютере, тип и идентификатор приложения, с которым выполняется обновление, идентификатор задачи обновления;

- информацию о наборе всех установленных обновлений, а также о наборе последних установленных и/или удалённых обновлений, тип события, служащего причиной отправки информации об обновлениях, период времени, прошедший после установки последнего обновления, информацию о загруженных в момент предоставления информации антивирусных базах;

- информацию о работе ПО на Компьютере: данные по использованию процессора (CPU), данные по использованию памяти (Private Bytes, Non-Paged Pool, Paged Pool), количество активных потоков в процессе ПО и потоков в состоянии ожидания, длительность работы ПО до возникновения ошибки;

- количество дампов ПО и дампов системы (BSOD) с момента установки ПО и с момента последнего обновления, идентификатор и версия модуля ПО, в котором произошел сбой, стек памяти в продуктовом процессе и информация об антивирусных базах в момент сбоя;

- данные о дампе системы (BSOD): признак возникновения BSOD на Компьютере, имя драйвера, вызвавшего BSOD, адрес и стек памяти в драйвере, признак длительности сессии ОС до возникновения BSOD, стек памяти падения драйвера, тип сохраненного дампа памяти, признак того, что сессия работы ОС до BSOD длилась более 10 минут, уникальный идентификатор дампа, дата и время возникновения BSOD;

- данные о возникших ошибках в работе компонент ПО: идентификатор состояния ПО, тип и код ошибки, а также время её возникновения, идентификаторы компонента, модуля и процесса продукта, в котором возникла ошибка, идентификатор задачи или категории обновления, при выполнении которой возникла ошибка, логи драйверов, используемых ПО (код ошибки, имя модуля, имя исходного файла и строка, где произошла ошибка), идентификатор метода определения возникновения ошибки в работе ПО, имя процесса, который инициировал перехват или обмен трафиком, который привел к ошибке в работе ПО;

- данные об обновлениях антивирусных баз и компонент ПО: имена, даты и время индексных файлов, загруженных в результате последнего обновления и загружаемых в текущем обновлении, а также дата и время завершения последнего обновления, имена файлов обновляемых категорий и их контрольные суммы (MD5, SHA2-256, SHA1);

- информацию об аварийных завершениях работы ПО: дату и время создания дампа, его тип, имя процесса, связанного с дампом, версия и время отправки статистики с дампом, тип события, вызвавшего аварийное завершение работы ПО (непредвиденное отключение питания, падение приложения стороннего правообладателя, ошибки обработки перехвата), дату и время непредвиденного отключения питания;

- информацию о сторонних приложениях, вызвавших ошибку: их название, версию и локализацию, код ошибки и информацию о ней из системного журнала приложений, адрес возникновения ошибки и стек памяти стороннего приложения, признак возникновения ошибки в компоненте ПО, длительность работы стороннего приложения до возникновения ошибки, контрольные суммы (MD5, SHA2-256, SHA1) образа процесса приложения, в котором произошла ошибка, путь к этому образу процесса приложения и код шаблона пути, информацию из системного журнала ОС с описанием ошибки, связанной с приложением, информацию о модуле приложения, в котором произошла ошибка (идентификатор ошибки, адрес ошибки как смещение в модуле, имя и версию модуля, идентификатор падения приложения в плагине Правообладателя и стек памяти такого падения, время работы приложения до сбоя);

- версию компонента обновления ПО, количество аварийных завершений работы компонента обновления ПО при выполнении задач обновления за время работы компонента, идентификатор типа задачи обновления, количество неуспешных завершений задач обновления компонента обновления ПО;

- информацию о работе компонент мониторинга системы: полные версии компонент, код события, которое переполнило очередь событий, и количество таких событий, общее количество переполнений очереди событий, информация о файле процесса-инициатора события (название файла и путь к нему на Компьютере, код шаблона пути, контрольные суммы (MD5, SHA2-256, SHA1) процесса, связанного с файлом, версия файла), идентификатор выполненного перехвата события, полная версия фильтра перехвата, идентификатор типа перехваченного события, размер очереди событий и количество событий между первым событием в очереди и текущим событием, количество просроченных событий в очереди, информация о процессе-инициаторе текущего события (название файла процесса и путь к нему на Компьютере, код шаблона пути, контрольные суммы (MD5, SHA2-256, SHA1) процесса), время обработки события, максимально допустимое время обработки событий, значение вероятности отправки данных;

- информацию о неуспешной последней перезагрузке ОС: количество неуспешных перезагрузок с момента установки ОС, данные о дампе системы (код и параметры ошибки, имя, версия и контрольная сумма (CRC32) модуля, вызвавшего ошибку в работе ОС, адрес ошибки как смещение в модуле, контрольные суммы (MD5, SHA2-256, SHA1) дампа системы);

- информацию для проверки подлинности сертификатов, которыми подписаны файлы: отпечаток сертификата, алгоритм вычисления контрольной суммы, публичный ключ и серийный номер сертификата, имя эмитента сертификата, результат проверки сертификата и идентификатор базы сертификатов;

- информацию о процессе, выполняющем атаку на самозащиту ПО: имя и размер файла процесса, его контрольные суммы (MD5, SHA2-256, SHA1), полный путь к нему и код шаблона пути, даты и время создания и компоновки файла процесса, признак исполняемого файла, атрибуты файла процесса, информацию о сертификате, которым подписан файл процесса, код учетной записи, от имени которой был запущен процесс, идентификатор операций, которые осуществлялись для доступа к процессу, тип ресурса, с которым выполняется операция (процесс, файл, объект реестра, поиск окна с помощью функции FindWindow), имя ресурса, с которым выполняется операция, признак успешности выполнения операции, статус файла процесса и его подписи в KSN;

- информацию о ПО Правообладателя: полную версию, тип, локализацию и статус работы используемого ПО, версии установленных компонентов ПО и статус их работы, данные об установленных обновлениях ПО, а также значение фильтра TARGET, версию используемого протокола соединения с сервисами Правообладателя;

- информацию об установленном на Компьютере аппаратном обеспечении: тип, название, модель, версию прошивки, характеристики встроенных и подключенных устройств, уникальный идентификатор Компьютера, на котором установлено ПО;

- информацию о версии установленной на Компьютере операционной системы (ОС) и установленных пакетов обновлений, разрядность, редакцию и параметры режима работы ОС, версию и контрольные суммы (MD5, SHA2-256, SHA1) файла ядра ОС.


Также для достижения заявленной цели повышения эффективности защиты, предоставляемой ПО, Правообладатель может получать объекты, в отношении которых существует риск их использования злоумышленниками для нанесения вреда Компьютеру и создания угроз информационной безопасности. К таким объектам относятся:

- исполняемые и неисполняемые файлы целиком или частично;

- участки оперативной памяти Компьютера;

- сектора, участвующие в процессе загрузки операционной системы;

- пакеты данных сетевого трафика;

- веб-страницы и электронные письма, содержащие подозрительные и вредоносные объекты;

- описание классов и экземпляров классов WMI хранилища;

- отчеты об активностях приложений.


Такие отчеты об активностях приложений содержат следующие данные о файлах и процессах:

- имя, размер и версия отправляемого файла, его описание и контрольные суммы (MD5, SHA2-256, SHA1), идентификатор формата, название его производителя, название продукта, к которому относится файл, полный путь к файлу на Компьютере и код шаблона пути, дата и время создания и модификации файла;

- даты и время начала и окончания срока действия сертификата, если отправляемый файл имеет ЭЦП, дата и время подписания, имя эмитента сертификата, информация о владельце сертификата, отпечаток и открытый ключ сертификата и алгоритмы их вычисления, серийный номер сертификата;

- имя учетной записи, от которой запущен процесс;

- контрольные суммы (MD5, SHA2-256, SHA1) имени Компьютера, на котором запущен процесс;

- заголовки окон процесса;

- идентификатор антивирусных баз, название обнаруженной угрозы согласно классификации Правообладателя;

- информацию об установленной в ПО лицензии, идентификатор лицензии, её тип и дата истечения;

- локальное время Компьютера в момент предоставления информации;

- имена и пути к файлам, к которым получал доступ процесс;

- имена ключей реестра и их значения, к которым получал доступ процесс;

- URL- и IP-адреса, к которым обращался процесс;

- URL- и IP-адреса, с которых был получен запускаемый файл.


Также для достижения заявленной цели в части предотвращения ложных срабатываний Правообладатель может получать доверенные исполняемые и неисполняемые файлы или их части.


Предоставление вышеуказанной информации в KSN является добровольным. После установки ПО Пользователь имеет возможность в любой момент времени включить использование KSN или отказаться от использования KSN в настройках ПО согласно описанию в Руководстве пользователя.


© АО «Лаборатория Касперского», 2018.

 
 
 
 
 
Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!