Jak vyhledávat viry prostřednictvím služby Antivirus API

autor:
Tweet
Share
Share
Pin

Web je plný škodlivých stránek. Bohužel mohou existovat i na stránkách vašich klientů/dodavatelů.

Žádný podnik se dnes neobejde bez nějaké integrace, která vychází z webových stránek klienta nebo dodavatele nebo pro ně poskytuje vstupy. Bez těchto služeb vaše podnikání samozřejmě nebude existovat, ale někdy je kvůli těmto službám hrozbou. Externí weby, se kterými komunikujete, mohou mít škodlivý obsah (ať už nainstalovaný záměrně nebo kompromitovaný třetí stranou), a pokud si tento obsah najde cestu na předem určené místo, následky mohou být katastrofální.

Nemůžeme skenovat webové stránky na škodlivé stránky ručně?

Mohlo by se zdát, že kompetentní vývojář by měl být schopen skenovat stránky na zranitelnosti. Bohužel se to ani zdaleka neblíží realitě z mnoha důvodů:

  • Vývojáři se nespecializují na detekci/zabezpečení. Jejich odbornost spočívá ve vytváření komplexního softwaru sestavením mnoha menších podsystémů; jinými slovy, jednoduše nemají potřebné dovednosti.
  • I kdybyste narazili na dostatečně talentovaného vývojáře, úkol by byl zkrátka příliš velký. Typická webová stránka s bohatými funkcemi obsahuje tisíce řádků kódu – sešít je všechny dohromady za účelem vytvoření většího obrazu a také drobných mezer není nic menšího než noční můra. Můžete také někomu přikázat, aby snědl k obědu celého slona!
  • Aby se zkrátila doba načítání stránek, weby často komprimují a minimalizují své soubory CSS a JavaScript. To má za následek tak změť kódu, že je naprosto nemožné jej přečíst.

Co si myslíte, že tento kód dělá? :kappa: (Zdroj elgg.org)

Pokud to stále vypadá čitelně, je to proto, že se tamní dobré duše rozhodly zachovat názvy proměnných ve velkém kontextu. Vyzkoušejte zdrojový kód pro jQuery, který může někdo hostovat na svých webových stránkách a manipulovat s ním (dva řádky někde v tomto nepořádku):

Nemluvě o tom, že zdroj se blíží 5000 řádkům kódu. 😎

Toto je pouze jediný skript, o kterém mluvíme. K webové stránce je obvykle připojeno 5–15 skriptů a je pravděpodobné, že pracujete s celkem 10–20 webovými stránkami. Představte si, že to musíte dělat každý den. . . Nebo ještě hůř, několikrát denně!

Naštěstí je možné rychle a snadno skenovat adresy URL pomocí rozhraní API. Můžete skenovat nejen webové stránky, ale také soubory, které jsou vám poskytnuty ke stažení. Podívejme se na některé nástroje API, které vám s tím pomohou. A protože se jedná o rozhraní API, bude úsilí vašeho vývojáře mnohem lépe využito, pokud je požádáte o vytvoření nástroje pro skenování webových stránek pomocí těchto rozhraní API. 😀

Webové riziko Google

Není žádným překvapením, že kontrola webových stránek by přišla od společnosti, která prakticky vlastní internet (myslím všechny jeho webové stránky). Má to ale háček: Webové riziko Google je stále ve verzi beta a je k dispozici na žádost pouze. Být v beta verzi znamená další zlomové změny.

  Jak přidat a spravovat video profily Amazon Prime

Přesto, vzhledem k tomu, že API je docela přímočaré, může vývojář vyřešit jakékoli změny pomocí nástroje pro monitorování API a několika minut času na vývoj. 🙂

Použití API je také velmi snadné. Chcete-li zkontrolovat jednu stránku pomocí příkazového řádku, jednoduše odešlete požadavek následovně:

curl -H "Content-Type: application/json" "https://webrisk.googleapis.com/v1beta1/uris:search?key=YOUR_API_KEY&threatTypes=MALWARE&uri=http%3A%2F%2Ftestsafebrowsing.appspot.com%2Fs%2Fmalware.html"

Pokud byl požadavek úspěšný, API odpoví s typem chyby zabezpečení na stránce:

{
  "threat": {
    "threatTypes": [
      "MALWARE"
    ],
    "expireTime": "2019-07-17T15:01:23.045123456Z"
  }
}

Jak můžete vidět, API potvrzuje, že je známo, že stránka obsahuje malware.

Pamatujte, že rozhraní Google Web Risk API neprovádí diagnostiku na vyžádání na adrese URL nebo souboru podle vašeho výběru. Nahlíží na černou listinu spravovanou společností Google na základě výsledků vyhledávání a zpráv a hlásí, zda je adresa URL na této černé listině nebo ne. Jinými slovy, pokud toto API říká, že adresa URL je bezpečná, lze bezpečně předpokládat, že je docela bezpečná, ale neexistují žádné záruky.

VirusTotal

VirusTotal je další skvělá služba, kterou můžete použít ke skenování nejen URL, ale i jednotlivých souborů (v tomto smyslu jsem ji z hlediska užitečnosti dal nad Google Web Risk). Pokud máte chuť službu vyzkoušet, přejděte na webovou stránku a přímo na domovské stránce je možnost začít.

I když je VirusTotal k dispozici jako bezplatná platforma vytvořená a spravovaná živou komunitou, nabízí komerční verzi svého API. Zde je důvod, proč byste chtěli platit za prémiovou službu:

  • Flexibilní sazba požadavků a denní kvóta (na rozdíl od pouhých čtyř požadavků za minutu pro veřejné API)
  • Odeslaný zdroj zkontroluje VirusTotal svým antivirem a vrátí další diagnostické informace.
  • Informace o souborech, které odešlete, založené na chování (soubory budou umístěny v různých prostředích izolovaného prostoru, aby bylo možné sledovat podezřelé aktivity)
  • Dotaz na různé parametry v databázi souborů VirusTotal (jsou podporovány komplexní dotazy)
  • Přísná SLA a doba odezvy (soubory odeslané do VirusTotal prostřednictvím veřejného rozhraní API jsou zařazeny do fronty a jejich analýza zabere značnou dobu)

Pokud se rozhodnete pro soukromé VirusTotal API, může to být jedna z nejlepších investic, jakou jste kdy udělali do produktu SaaS pro váš podnik.

Scanii

Dalším doporučením pro API bezpečnostních skenerů je Scanii. Je to jednoduché REST API, které dokáže skenovat zaslané dokumenty/soubory na přítomnost hrozeb. Představte si to jako antivirový skener na vyžádání, který lze spustit a škálovat bez námahy!

  9 nejlepších sítí expertů, které lze použít k přijímání informovaných obchodních rozhodnutí

Zde jsou vychytávky, které Scanii nabízí:

  • Dokáže detekovat malware, phishingové skripty, spamový obsah, obsah NSFW (Not Safe For Work) atd.
  • Je postaven na Amazon S3 pro snadné škálování a ukládání souborů s nulovým rizikem.
  • Detekujte urážlivý, nebezpečný nebo potenciálně nebezpečný text ve více než 23 jazycích.
  • Jednoduchý, bezproblémový a cílený přístup ke skenování souborů na základě API (jinými slovy, žádné zbytečně „užitečné“ funkce)

Skutečně dobrá věc je, že Scanii je meta engine; to znamená, že neprovádí skenování sám o sobě, ale používá sadu základních motorů, které provádějí terénní práce. Je to skvělý přínos, protože nemusíte být vázáni na konkrétní bezpečnostní engine, což znamená, že se nemusíte starat o nefunkční změny API a podobně.

Scanii vidím jako obrovskou výhodu pro platformy, které jsou závislé na obsahu vytvářeném uživateli. Dalším případem použití je skenování souborů generovaných službou dodavatele, které nemůžete 100% důvěřovat.

Metadefender

Některým organizacím nestačí skenování souborů a webových stránek na jednom koncovém bodě. Mají komplexní tok informací a žádný z koncových bodů nemůže být ohrožen. Pro tyto případy použití, Metadefender je ideálním řešením.

Představte si Metadefender jako paranoidního správce brány, který sedí mezi vašimi základními datovými aktivy a vším ostatním, včetně sítě. Říkám „paranoidní“, protože to je filozofie designu za Metadefenderem. Neumím to popsat lépe než oni, takže tady:

Většina řešení kybernetické bezpečnosti spoléhá na detekci jako svou hlavní ochrannou funkci. Dezinfekce dat MetaDefender nespoléhá na detekci. Předpokládá, že všechny soubory mohou být infikovány a znovu sestaví jejich obsah pomocí bezpečného a efektivního procesu. Podporuje více než 30 typů souborů a vytváří bezpečné a použitelné soubory. Sanitace dat je mimořádně účinná při prevenci cílených útoků, ransomwaru a dalších typů známých i neznámých malwarových hrozeb.

Metadefender nabízí několik elegantních funkcí:

  • Prevence ztráty dat: Jednoduše řečeno, jde o schopnost potlačit a chránit citlivé informace zjištěné v obsahu souboru. Například potvrzení ve formátu PDF s viditelným číslem kreditní karty bude metadefenderem zatemněno.
  • Nasaďte lokálně nebo v cloudu (v závislosti na tom, jak jste paranoidní!).
  • Prohlédněte si více než 30 typů archivačních formátů (zip, tar, rar atd.) a 4 500 triků se spoofingem typů souborů.
  • Vícekanálové nasazení – zabezpečte pouze soubory, nebo se vyhýbejte ovládání e-mailu, sítě a přihlášení.
  • Vlastní pracovní postupy pro použití různých typů kanálů skenování na základě vlastních pravidel.

Metadefender obsahuje 30+ enginů, ale pěkně je abstrahuje, takže na ně nemusíte nikdy myslet. Pokud jste střední až velký podnik, který si prostě nemůže dovolit noční můry s bezpečností, Metadefender je skvělá volba.

Urlscan.io

Pokud se většinou zabýváte webovými stránkami a vždy jste chtěli podrobnější pohled na to, co dělají v zákulisí, Urlscan.io je vynikající zbraní ve vašem arzenálu.

  12 způsobů, jak odpojit iPhone od Macu

Množství informací, které Urlscan.io vysype, je působivé. Mimo jiné uvidíte:

  • Celkový počet IP adres, které stránka kontaktuje.
  • Seznam geografických oblastí a domén, do kterých stránka odeslala informace.
  • Technologie používané na front-endu a backendu webu (neuvádí se žádná tvrzení o přesnosti, ale je znepokojivě přesná!).
  • Informace o doméně a certifikátu SSL
  • Podrobné interakce HTTP spolu s datovou zátěží požadavků, názvy serverů, doby odezvy a mnoho dalšího.
  • Skrytá přesměrování a neúspěšné požadavky
  • Odchozí odkazy
  • Analýza JavaScriptu (globální proměnné použité ve skriptech atd.)
  • Analýza stromu DOM, obsah formulářů a další.

Zde je návod, jak to celé vypadá:

Rozhraní API je jednoduché a přímočaré a umožňuje vám odeslat adresu URL ke skenování a také zkontrolovat historii skenování této adresy URL (to znamená skenování prováděné jinými uživateli). Celkově vzato, Urlscan.io poskytuje množství informací pro všechny dotčené firmy nebo jednotlivce.

SUCURI

SUCURI je známá platforma, pokud jde o online skenování webových stránek na hrozby a malware. Co možná nevíte, je, že mají a REST API také umožňuje programově využít stejnou sílu.

Tady není moc o čem mluvit, kromě toho, že API je jednoduché a funguje dobře. Sucuri se samozřejmě neomezuje na skenovací API, takže když už jste u toho, doporučuji vám vyzkoušet některé z jeho výkonných funkcí, jako je skenování na straně serveru (v zásadě poskytnete přihlašovací údaje FTP a ono se přihlásí a prohledá všechny soubory na hrozby!).

Quttera

Náš poslední záznam v tomto seznamu je Quttera, která nabízí něco trochu jiného. Namísto skenování domény a odeslaných stránek na vyžádání může Quttera také provádět nepřetržité monitorování, což vám pomůže vyhnout se zranitelnosti zero-day.

REST API je jednoduché a výkonné a může vrátit několik více formátů než JSON (například XML a YAML). U skenů je podporováno plné vícevláknové zpracování a souběžnost, což vám umožňuje paralelně spouštět více vyčerpávajících skenů. Protože služba běží v reálném čase, je neocenitelná pro společnosti, které se zabývají kritickými nabídkami, kde výpadky znamenají zánik.

Závěr

Bezpečnostní nástroje, jako jsou ty, které jsou popsány v tomto článku, jsou pouze další linií obrany (nebo opatrnosti, chcete-li). Stejně jako antivirový program toho umí hodně, ale neexistuje způsob, jak zajistit skenovací metodu odolnou proti selhání. Je to jednoduše proto, že program napsaný se zlým úmyslem je pro počítač stejný jako program napsaný s pozitivním dopadem – oba vyžadují systémové prostředky a vydávají síťové požadavky; ďábel se skrývá v kontextu, který není pro počítače, aby to úspěšně fungovalo.

To znamená, že tato rozhraní API poskytují robustní zabezpečení, které je ve většině případů žádoucí – jak pro externí webové stránky, tak pro vaše vlastní! 🙂