adminvista.com

Hur man söker efter virus via en antivirus API-tjänst

By rik

Risker på webben och vikten av säkerhetsskanning

Internet är en plats full av potentiella faror. Tyvärr kan skadliga element även lura på webbplatser som tillhör dina samarbetspartners eller leverantörer.

I dagens affärsvärld är det nästintill omöjligt att undvika integrationer som utbyter information med kunders och leverantörers webbplatser. Dessa tjänster är oumbärliga för verksamheten, men de kan också utgöra en risk. Externa webbplatser kan innehålla skadligt innehåll, vare sig det är medvetet installerat eller om de har blivit komprometterade av tredje part. Om detta skadliga innehåll tar sig in i dina system kan konsekvenserna bli förödande.

Kan man manuellt skanna webbplatser efter faror?

Man kan tänka sig att en erfaren utvecklare skulle kunna identifiera sårbarheter genom manuell granskning, men detta är ofta en orealistisk förväntning av flera anledningar:

  • Utvecklare är vanligtvis inte specialiserade på säkerhet. Deras expertis ligger i att bygga komplexa system genom att kombinera mindre delar. Med andra ord, de saknar oftast den djupgående säkerhetskunskapen.
  • Även om man hittade en utvecklare med rätt kompetens skulle uppgiften vara för omfattande. En typisk webbsida kan innehålla tusentals rader kod. Att sammanfoga alla dessa delar och hitta små sårbarheter är ett nästintill omöjligt uppdrag.
  • För att optimera laddningstider komprimerar och minifierar webbplatser ofta CSS- och JavaScript-filer. Detta leder till en oöverskådlig kodmassa som är svår att tolka.

Vad gör egentligen denna kod? (Källa: elgg.org)

Om det ser läsbart ut beror det på att utvecklarna där har behållit variabelnamnen. Försök titta på källkoden för jQuery (som kan finnas på en webbplats) där någon kan ha manipulerat den (några få rader i den här röran):

Och detta är bara ett enda skript! En webbsida har ofta 5-15 skript, och du hanterar troligen 10-20 webbsidor. Föreställ dig att göra detta varje dag, eller till och med flera gånger per dag!

Lyckligtvis finns det API:er som gör det möjligt att snabbt och enkelt skanna webbadresser och filer. Låt oss titta på några av dessa verktyg. Din utvecklares tid skulle vara mycket mer effektivt spenderad om de istället byggde ett webbverktyg med hjälp av dessa API:er.

API:er för säkerhetsskanning

Google Web Risk

Det är inte förvånande att Google, företaget som i princip äger internet, har utvecklat ett verktyg för att granska webbsidor. Dock är Google Web Risk fortfarande i beta och endast tillgängligt efter begäran. Att vara i beta innebär att förändringar kan ske.

API:et är dock relativt enkelt att använda, och eventuella ändringar bör kunna hanteras av din utvecklare med hjälp av ett API-övervakningsverktyg och lite utvecklingstid.

API:et är mycket lätt att använda. För att kontrollera en sida via kommandoraden, skicka en förfrågan som denna:

curl -H "Content-Type: application/json" "https://webrisk.googleapis.com/v1beta1/uris:search?key=YOUR_API_KEY&threatTypes=MALWARE&uri=http%3A%2F%2Ftestsafebrowsing.appspot.com%2Fs%2Fmalware.html"

Om begäran lyckades svarar API:et med typen av sårbarhet som hittats:

{
  "threat": {
    "threatTypes": [
      "MALWARE"
    ],
    "expireTime": "2019-07-17T15:01:23.045123456Z"
  }
}

API:et bekräftar att sidan är känd för att innehålla skadlig programvara.

Google Web Risk API gör inte en diagnos på begäran för en URL eller fil. Istället konsulterar det en svartlista som Google upprätthåller, baserat på sökresultat och rapporter, och anger om en webbadress finns på denna lista. Om API:et anger att en URL är säker, är den troligen ganska säker, men det finns ingen garanti.

VirusTotal

VirusTotal är en annan tjänst som kan användas för att skanna webbadresser och enskilda filer. Det är mycket användbart att kunna skanna både webbadresser och filer. På startsidan finns ett enkelt alternativ för att komma igång och testa tjänsten.

VirusTotal är en kostnadsfri plattform som drivs av en aktiv community, men det finns också en kommersiell version av API:et. Fördelarna med premiumtjänsten är:

  • Mer flexibel förfrågningsfrekvens och daglig kvot. (Det offentliga API:et har begränsningen 4 förfrågningar per minut.)
  • Filer skannas av VirusTotals antivirus och ytterligare diagnostik returneras.
  • Beteendebaserad information om inskickade filer (filerna testas i olika sandlådemiljöer för att övervaka misstänkta aktiviteter).
  • Möjlighet att söka i VirusTotals databas efter olika parametrar (avancerade frågor stöds).
  • Strikta SLA och svarstider. Filer som skickas via det offentliga API:et sätts i kö och tar längre tid att analysera.

Ett privat VirusTotal API kan vara en av de bästa investeringarna för ditt företag.

Scanii

Ett annat rekommenderat API för säkerhetsskanning är Scanii. Det är ett enkelt REST API som kan skanna inskickade dokument/filer efter hot. Tänk på det som en virusscanner på begäran, som kan köras och skalas enkelt!

Scanii erbjuder:

  • Upptäcker skadlig programvara, nätfiske, skräppostinnehåll, olämpligt innehåll (NSFW) och mer.
  • Baseras på Amazon S3 för enkel skalning och säker fillagring.
  • Identifierar stötande, osäker eller potentiellt farlig text på över 23 språk.
  • En enkel och fokuserad metod för API-baserad filskanning.

Scanii är en metamotor som använder underliggande motorer för att utföra skanningar. Det är en stor fördel, eftersom du inte behöver vara låst till en specifik säkerhetsmotor och slipper oroa dig för API-ändringar.

Scanii är en stor tillgång för plattformar som är beroende av användargenererat innehåll. Det kan även användas för att skanna filer från leverantörer som man inte litar på till 100 %.

Metadefender

Vissa organisationer behöver mer än bara en slutpunkt för skanning. De har komplexa informationsflöden och ingen av slutpunkterna får komprometteras. För dessa fall är Metadefender en idealisk lösning.

Metadefender kan ses som en paranoid portvakt mellan dina dataresurser och allt annat, inklusive nätverket. Det som kännetecknar Metadefender är dess ”paranoiska” syn på säkerhet. Det fungerar som följer:

MetaDefender-datasanering förlitar sig inte på upptäckt. Istället utgår den från att alla filer kan vara infekterade och återskapar filinnehållet genom en säker process. Den stöder över 30 filtyper och genererar säkra och användbara filer. Datasanering är extremt effektiv för att förhindra riktade attacker, ransomware och andra typer av kända och okända hot.

Några av funktionerna i Metadefender:

  • Förebyggande av dataförlust: Möjligheten att skydda känslig information som finns i filinnehåll. Till exempel, ett PDF-kvitto med ett kreditkortsnummer skulle maskeras av Metadefender.
  • Kan distribueras lokalt eller i molnet (beroende på säkerhetsbehov).
  • Granskar över 30 typer av arkivformat (zip, tar, rar, etc.) och identifierar över 4500 typer av filförfalskningstrick.
  • Multi-channel distribution – säkra filer, e-post, nätverk och inloggningskontroll.
  • Anpassade arbetsflöden för att använda olika skanningspipelines baserat på egna regler.

Metadefender innehåller över 30 motorer, men abstraherar dem, så att du inte behöver tänka på dem. Metadefender är ett bra alternativ för medelstora och stora företag som inte vill ta risker med säkerheten.

Urlscan.io

Om du mestadels jobbar med webbsidor och vill ha en djupare inblick i vad som händer bakom kulisserna, är Urlscan.io ett bra verktyg.

Mängden information som Urlscan.io tillhandahåller är imponerande. Du kan bland annat se:

  • Totalt antal IP-adresser som sidan har kontaktat.
  • Lista över geografiska platser och domäner som sidan skickar information till.
  • Teknik som används i webbplatsens frontend och backend (noggrannheten är hög).
  • Domän- och SSL-certifikatinformation.
  • Detaljerade HTTP-interaktioner med information om begäran, servernamn, svarstider och mycket mer.
  • Dolda omdirigeringar och misslyckade förfrågningar.
  • Utgående länkar.
  • JavaScript-analys (globala variabler som används i skripten, etc.).
  • DOM-trädanalys, formulärinnehåll och mer.

Så här ser det ut:

API:et är enkelt att använda. Du kan skicka in en URL för skanning och kolla skanningshistoriken för URL:en. Urlscan.io är ett kraftfullt verktyg för företag och individer.

SUCURI

SUCURI är en välkänd plattform för onlineskanning av webbplatser efter hot och skadlig kod. De har även ett REST API, som ger dig samma funktionalitet via programmering.

API:et är enkelt att använda. Sucuri erbjuder även andra kraftfulla funktioner som skanning på serversidan (där du kan ange FTP-uppgifter och Sucuri loggar in och skannar alla filer efter hot).

Quttera

Det sista verktyget på listan är Quttera, som erbjuder något annorlunda. Istället för att enbart skanna domäner och inskickade sidor, kan Quttera även genomföra kontinuerlig övervakning, vilket kan vara bra för att undvika nolldagssårbarheter.

REST API är enkelt och kan returnera format som JSON, XML och YAML. Full multithreading och samtidighet stöds i skanningar, vilket gör det möjligt att köra flera uttömmande skanningar samtidigt. Tjänsten körs i realtid, vilket är värdefullt för företag där driftstopp kan få förödande konsekvenser.

Sammanfattning

Säkerhetsverktyg som dessa är en viktig del av ett bra säkerhetsskydd. Precis som antivirusprogram kan de göra mycket, men de är inte en vattentät garanti. Program som skrivits med skadlig avsikt och program som skrivits för goda syften ser likadana ut för datorn; de frågar efter systemresurser och gör nätverksförfrågningar. Skillnaden ligger i kontexten. Det kan dock vara svårt för en dator att tolka detta.

Dessa API:er ger ett robust skydd för både externa webbplatser och dina egna. Att implementera verktygen är absolut att rekommendera.

Hur mycket är din personliga information värd på den mörka webben?

7 bästa API-analysverktyg för att bygga en fantastisk upplevelse