Как да сканирате за вируси чрез антивирусна API услуга

Мрежата е пълна със злонамерени страници. За съжаление те могат да съществуват и на сайтовете на вашите клиенти/доставчици.

Нито един бизнес днес не е без някаква интеграция, която се захранва от или предоставя информация за уебсайта на клиент или доставчик. Разбира се, вашият бизнес няма да съществува без тези услуги, но понякога това е заплаха поради тези услуги. Външните сайтове, с които взаимодействате, могат да имат злонамерено съдържание (независимо дали са инсталирани нарочно или са компрометирани от трета страна) и ако това съдържание намери своя път до предварително определеното място, последствията могат да бъдат катастрофални.

Може ли да не сканираме уебсайтове за злонамерени страници ръчно?

Може да изглежда, че компетентен разработчик трябва да може да сканира страници за уязвимости. За съжаление, това дори не е близо до реалността поради много причини:

• Разработчиците не са специализирани в откриването/сигурността. Техният опит е в изграждането на сложен софтуер чрез обединяване на множество по-малки подсистеми; с други думи, те просто нямат набор от умения.
• Дори и да попаднете на достатъчно талантлив разработчик, задачата просто ще бъде твърде тежка. Една типична, богата на функции уеб страница съдържа хиляди редове код – съединяването им заедно за изработване на по-голямата картина, както и малките вратички, не е нищо друго освен кошмар. Можете също така да заповядате на някого да изяде цял слон за обяд!
• За да намалят времето за зареждане на страницата, уебсайтовете често компресират и минимизират своите CSS и JavaScript файлове. Това води до такава бъркотия от код, че е напълно невъзможно да се прочете.

Какво мислите, че прави този код? :kappa: (Източник elgg.org)

Ако това все още изглежда четимо, това е защото добрите души там са решили да запазят имената на променливите в широк контекст. Опитайте изходния код за jQuery, който някой може да хоства на уебсайта си и да го подправя (два реда някъде в тази бъркотия):

Да не говорим, че източникът е близо 5000 реда код. 😎

Това е само един скрипт, за който говорим. Една уеб страница обикновено има 5-15 прикачени скрипта и е вероятно да работите общо с 10-20 уеб страници. Представете си, че трябва да правите това всеки ден. . . Или по-лошо, няколко пъти на ден!

За щастие е възможно да сканирате URL адреси бързо и лесно чрез API. Можете да сканирате не само уеб страници, но и файлове, които са ви предоставени за изтегляне. Нека да разгледаме някои от API инструментите, които ви помагат да направите това. И о, тъй като това са API, усилията на вашия програмист ще бъдат обслужвани много по-добре, ако ги помолите да създадат инструмент за сканиране на уебсайтове, използвайки тези API. 😀

Google Web Risk

Не е изненадващо, че инструментът за проверка на уеб страници идва от компанията, която на практика притежава интернет (имам предвид всичките му уеб страници). Но има една уловка: Google Web Risk все още е в бета версия и е достъпен на искане само. Да бъдеш в бета версия означава повече революционни промени.

И все пак, като се има предвид, че API е доста лесен, всички промени могат да бъдат адресирани от вашия разработчик с помощта на инструмент за наблюдение на API и няколко минути време за разработка. 🙂

Използването на API също е супер лесно. За да проверите една страница с помощта на командния ред, просто изпратете заявка, както следва:

curl -H "Content-Type: application/json" "https://webrisk.googleapis.com/v1beta1/uris:search?key=YOUR_API_KEY&threatTypes=MALWARE&uri=http%3A%2F%2Ftestsafebrowsing.appspot.com%2Fs%2Fmalware.html"

Ако заявката е успешна, API отговаря с вида на уязвимостта на страницата:

{
  "threat": {
    "threatTypes": [
      "MALWARE"
    ],
    "expireTime": "2019-07-17T15:01:23.045123456Z"
  }
}

Както можете да видите, API потвърждава, че е известно, че страницата съдържа зловреден софтуер.

Имайте предвид, че API на Google Web Risk не извършва диагностика при поискване на URL или файл по ваш избор. Той прави справка с черен списък, поддържан от Google въз основа на констатациите от търсенето и доклади, и съобщава дали URL адресът е в този черен списък или не. С други думи, ако този API казва, че даден URL адрес е безопасен, е безопасно да се предположи, че е доста безопасен, но няма гаранции.

VirusTotal

VirusTotal е друга готина услуга, която можете да използвате за сканиране не само на URL адреси, но и на отделни файлове (в този смисъл я поставям над Google Web Risk по отношение на полезност). Ако желаете да изпробвате услугата, просто отидете на уебсайта и точно на началната страница има опция да започнете.

Въпреки че VirusTotal се предлага като безплатна платформа, създадена и курирана от жизнена общност, тя предлага комерсиална версия на своя API. Ето защо бихте искали да платите за премиум услугата:

• Гъвкав процент на заявки и дневна квота (за разлика от само четирите заявки на минута за публичния API)
• Изпратеният ресурс се сканира от VirusTotal от тяхната антивирусна програма и се връща допълнителна диагностична информация.
• Информация, базирана на поведението, за файловете, които изпращате (файловете ще бъдат поставени в различни среди в пясъчна среда, за да се наблюдават подозрителни дейности)
• Запитване до базата данни с файлове VirusTotal за различни параметри (поддържат се сложни заявки)
• Строго SLA и време за реакция (файловете, изпратени до VirusTotal чрез публичния API, се нареждат на опашка и отнемат значително време за анализ)

Ако изберете частния VirusTotal API, това може да бъде една от най-добрите инвестиции, които някога сте правили в SaaS продукт за вашето предприятие.

Скании

Друга препоръка за API на скенера за сигурност е Скании. Това е прост REST API, който може да сканира изпратени документи/файлове за наличие на заплахи. Мислете за него като за скенер за вируси при поискване, който може да се стартира и мащабира без усилие!

Ето какви екстри предлага Scanii:

• Възможност за откриване на зловреден софтуер, фишинг скриптове, спам съдържание, NSFW (небезопасно за работа) съдържание и др.
• Той е изграден на Amazon S3 за лесно мащабиране и съхранение на файлове с нулев риск.
• Откривайте обиден, опасен или потенциално опасен текст на над 23 езика.
• Опростен, без излишни, фокусиран подход към базирано на API сканиране на файлове (с други думи, без ненужно „полезни“ функции)

Истинското хубаво нещо е, че Scanii е мета двигател; това означава, че не извършва сканиране самостоятелно, а използва набор от основни двигатели, за да работи по краката. Това е голямо предимство, тъй като не е нужно да сте обвързани с конкретен механизъм за сигурност, което означава, че няма нужда да се притеснявате за повредени промени в API и какво ли още не.

Виждам Scanii като огромно предимство за платформи, които зависят от генерирано от потребителите съдържание. Друг случай на използване е този за сканиране на файлове, генерирани от услуга на доставчик, на която не можете да се доверите на 100%.

Метазащитник

За някои организации сканирането на файлове и уеб страници в една крайна точка не е достатъчно. Те имат сложен информационен поток и нито една от крайните точки не може да бъде компрометирана. За тези случаи на употреба, Метазащитник е идеалното решение.

Мислете за Metadefender като за параноичен пазач, който стои между вашите основни данни и всичко останало, включително мрежата. Казвам „параноичен“, защото това е философията на дизайна зад Metadefender. Не мога да опиша това по-добре от тях, така че ето го:

Повечето решения за киберсигурност разчитат на откриването като тяхна основна защитна функция. Дезинфекцията на данни в MetaDefender не разчита на откриване. Той приема, че всички файлове могат да бъдат заразени и възстановява съдържанието им чрез сигурен и ефективен процес. Той поддържа повече от 30 типа файлове и извежда безопасни и използваеми файлове. Дезинфекцията на данни е изключително ефективна за предотвратяване на целенасочени атаки, ransomware и други видове известни и неизвестни заплахи за зловреден софтуер.

Има някои удобни функции, които Metadefender предлага:

• Предотвратяване на загуба на данни: С прости думи, това е способността да се замени и защити чувствителната информация, открита в съдържанието на файла. Например PDF разписка с видим номер на кредитна карта ще бъде скрита от Metadefender.
• Разположете локално или в облака (в зависимост от това колко сте параноични!).
• Прегледайте над 30 вида формати за архивиране (zip, tar, rar и т.н.) и 4500 трика за подправяне на типове файлове.
• Многоканални внедрявания — защитете само файловете или отидете на хам с контрол на имейл, мрежа и влизане.
• Персонализирани работни потоци за прилагане на различни типове конвейери за сканиране въз основа на персонализирани правила.

Metadefender включва 30+ двигателя, но ги абстрахира добре, така че никога не трябва да мислите за тях. Ако сте средно до голямо предприятие, което просто не може да си позволи кошмари за сигурността, Metadefender е чудесен вариант.

Urlscan.io

Ако се занимавате предимно с уеб страници и винаги сте искали по-задълбочен поглед върху това, което правят зад кулисите, Urlscan.io е отлично оръжие във вашия арсенал.

Количеството информация, което Urlscan.io изхвърля, не е нищо друго освен впечатляващо. Освен всичко друго можете да видите:

• Общ брой IP адреси, с които се свързва страницата.
• Списък с географски области и домейни, към които страницата е изпратила информация.
• Технологии, използвани в предния и задния край на сайта (няма претенции за точност, но е тревожно точен!).
• Информация за домейн и SSL сертификат
• Подробни HTTP взаимодействия заедно с полезен товар на заявката, имена на сървъри, времена за реакция и много повече.
• Скрити пренасочвания и неуспешни заявки
• Изходящи връзки
• JavaScript анализ (глобални променливи, използвани в скриптовете и т.н.)
• Анализ на DOM дърво, съдържание на формуляри и др.

Ето как изглежда всичко:

API е прост и ясен, позволявайки ви да изпратите URL адрес за сканиране, както и да проверите хронологията на сканирането на този URL (т.е. сканиране, извършено от други). Всичко на всичко, Urlscan.io предоставя богата информация за всеки заинтересован бизнес или физическо лице.

СУКУРИ

SUCURI е добре позната платформа, когато става въпрос за онлайн сканиране на уебсайтове за заплахи и зловреден софтуер. Това, което може би не знаете е, че те имат REST API както и позволявайки същата мощност да бъде използвана програмно.

Тук няма какво да се говори, освен че API е прост и работи добре. Разбира се, Sucuri не се ограничава до API за сканиране, така че докато сте там, бих ви препоръчал да разгледате някои от неговите мощни функции като сканиране от страна на сървъра (по принцип вие предоставяте идентификационните данни за FTP и той влиза и сканира всички файлове за заплахи!).

Кутера

Последният ни запис в този списък е Кутера, който предлага нещо малко по-различно. Вместо да сканира домейна и изпратените страници при поискване, Quttera може също така да извършва непрекъснат мониторинг, като ви помага да избегнете уязвимостите от нулевия ден.

REST API е прост и мощен и може да върне няколко повече формата от JSON (XML и YAML, например). Пълната многонишковост и паралелност се поддържат при сканиране, което ви позволява да изпълнявате множество изчерпателни сканирания паралелно. Тъй като услугата работи в реално време, тя е безценна за компании, които се занимават с критични предложения, при които престой означава смърт.

Заключение

Инструментите за сигурност като тези, обхванати в тази статия, са просто допълнителна линия на защита (или предпазливост, ако желаете). Точно като антивирусна програма, те могат да направят много, но няма начин да осигурят метод за безотказно сканиране. Това е просто защото програма, написана със злонамерени намерения, е същата за компютъра като тази, написана за положително въздействие – и двете искат системни ресурси и правят мрежови заявки; дяволът се крие в контекста, който не е за компютрите да работят успешно.

Въпреки това тези API осигуряват стабилно защитно покритие, което е желателно в повечето случаи – както за външни уебсайтове, така и за вашите собствени! 🙂