Detectando ameaças de segurança na Web por meio da API

A Web está cheia de páginas maliciosas. Infelizmente, eles também podem existir nos sites de clientes / fornecedores.


Atualmente, nenhuma empresa está sem alguma integração que se alimenta ou fornece informações para o site de um cliente ou fornecedor. Obviamente, sua empresa não existirá sem esses serviços, mas às vezes é uma ameaça por causa desses serviços. Os sites externos com os quais você interage podem ter conteúdo malicioso (instalado de propósito ou comprometido por terceiros) e, se esse conteúdo chegar ao local predeterminado, as consequências poderão ser desastrosas..

Não podemos verificar manualmente sites maliciosos em páginas maliciosas?

Pode parecer que um desenvolvedor competente possa verificar páginas em busca de vulnerabilidades. Infelizmente, isso nem chega perto da realidade por vários motivos:

  • Os desenvolvedores não se especializam em detecção / segurança. Sua experiência é na criação de software complexo, reunindo muitos subsistemas menores; em outras palavras, eles simplesmente não têm o conjunto de habilidades.
  • Mesmo se você se deparar com um desenvolvedor talentoso o suficiente, a tarefa seria simplesmente demais. Uma página da Web típica e rica em recursos contém milhares de linhas de código – juntá-las para elaborar a imagem maior e as pequenas brechas não é nada menos que um pesadelo. Você também pode ordenar que alguém coma um elefante inteiro no almoço!
  • Para reduzir o tempo de carregamento da página, os sites geralmente compactam e minimizam seus arquivos CSS e JavaScript. Isso resulta em uma bagunça de código tão confusa que é perfeitamente impossível ler.

O que você acha que esse código faz? : kappa: (fonte elgg.org)

Se isso ainda parece legível, é porque as boas almas decidiram preservar os nomes das variáveis ​​em um contexto amplo. Experimente o código fonte do jQuery, que alguém pode hospedar em seu site e adulterar (duas linhas em algum lugar nessa bagunça):

Sem mencionar que a fonte está perto de 5.000 linhas de código. ��

Este é apenas um script que estamos falando. Uma página da Web normalmente tem de 5 a 15 scripts anexados e é provável que você esteja trabalhando com 10 a 20 páginas da Web no total. Imagine ter que fazer isso todos os dias. . . Ou pior, algumas vezes ao dia!

Felizmente, é possível verificar URLs de maneira rápida e fácil por meio de APIs. Você pode digitalizar não apenas páginas da Web, mas também arquivos fornecidos para download. Vejamos algumas das ferramentas de API que ajudam você a fazer isso. E como essas são APIs, os esforços de seu desenvolvedor serão atendidos muito melhor se você solicitar a criação de uma ferramenta de verificação de site usando essas APIs. ��

Risco na Web do Google

Não é surpresa que um verificador de páginas da Web venha da empresa que possui praticamente a Internet (todas as suas páginas, quero dizer). Mas há um problema: Risco na Web do Google ainda está na versão beta e está disponível em solicitação só. Estar na versão beta significa mais mudanças.

Ainda assim, considerando que a API é bastante direta, qualquer alteração pode ser tratada pelo desenvolvedor usando uma ferramenta de monitoramento de API e alguns minutos de tempo de desenvolvimento. ��

O uso da API também é super fácil. Para verificar uma única página usando a linha de comando, basta enviar uma solicitação da seguinte maneira:

enrolar -H "Tipo de Conteúdo: application / json" "https://webrisk.googleapis.com/v1beta1/uris:search?key=YOUR_API_KEY&ameaTypes = MALWARE&uri = http% 3A% 2F% 2Ftestsafebrowsing.appspot.com% 2Fs% 2Fmalware.html"

Se a solicitação foi bem-sucedida, a API responde com o tipo de vulnerabilidade na página:

{
"ameaça": {
"ameaçaTipos": [
"MALWARE"
],
"expireTime": "Data do Carregamento: Dec 01, 2016"
}
}

Como você pode ver, a API confirma que a página é conhecida por conter malware.

Observe que a API de risco na web do Google não executa um diagnóstico sob demanda em um URL ou arquivo de sua escolha. Ele consulta uma lista negra mantida pelo Google com base nas descobertas e relatórios de pesquisa e informa se o URL está nessa lista negra ou não. Em outras palavras, se essa API diz que um URL é seguro, é seguro assumir que é bastante seguro, mas não há garantias.

VirusTotal

VirusTotal é outro serviço interessante que você pode usar para verificar não apenas URLs, mas também arquivos individuais (nesse sentido, eu o coloco acima do risco na web do Google em termos de utilidade). Se você está ansioso para experimentar o serviço, basta acessar o site e, na página inicial, há uma opção para continuar.

Embora o VirusTotal esteja disponível como uma plataforma gratuita criada e com curadoria de uma comunidade vibrante, ele oferece uma versão comercial de sua API. Veja por que você deseja pagar pelo serviço premium:

  • Taxa flexível de solicitações e cota diária (em oposição às meras quatro solicitações por minuto para a API pública)
  • O recurso enviado é verificado pelo VirusTotal pelo antivírus e informações adicionais de diagnóstico são retornadas..
  • Informações baseadas em comportamento sobre os arquivos enviados (os arquivos serão colocados em diferentes ambientes em área restrita para monitorar atividades suspeitas)
  • Consulte o banco de dados de arquivos VirusTotal para obter vários parâmetros (consultas complexas são suportadas)
  • SLA rigoroso e tempos de resposta (os arquivos enviados ao VirusTotal por meio da API pública são enfileirados e levam um tempo considerável para análise)

Se você optar pela API privada VirusTotal, pode ser um dos melhores investimentos que você já fez em um produto SaaS para sua empresa.

Scanii

Outra recomendação para APIs de scanner de segurança é Scanii. É uma API REST simples que pode verificar documentos / arquivos enviados quanto à presença de ameaças. Pense nisso como um antivírus sob demanda que pode ser executado e dimensionado sem esforço!

Aqui estão os brindes que a Scanii oferece:

  • Capaz de detectar malware, scripts de phishing, conteúdo de spam, conteúdo NSFW (não é seguro para o trabalho), etc..
  • Ele é construído no Amazon S3 para fácil dimensionamento e armazenamento de arquivos com risco zero.
  • Detecte texto ofensivo, inseguro ou potencialmente perigoso em mais de 23 idiomas.
  • Uma abordagem simples, sem frescuras, focada à verificação de arquivos baseada em API (em outras palavras, sem recursos desnecessariamente “úteis”)

O bom é que o Scanii é um meta-mecanismo; isto é, ele não realiza verificações por conta própria, mas usa um conjunto de mecanismos subjacentes para o trabalho braçal. É um grande trunfo, pois você não precisa estar vinculado a um mecanismo de segurança específico, o que significa que você não precisa se preocupar com alterações de API quebradas e outras coisas..

Eu vejo o Scanii como um grande benefício para plataformas que dependem de conteúdo gerado pelo usuário. Outro caso de uso é o da verificação de arquivos gerados por um serviço de fornecedor no qual você não pode confiar 100%.

Metadefender

Para algumas organizações, a digitalização de arquivos e páginas da Web em um único terminal não é suficiente. Eles têm um fluxo de informações complexo e nenhum dos pontos de extremidade pode ser comprometido. Para aqueles casos de uso, Metadefender é a solução ideal.

Pense no Metadefender como um gatekeeper paranóico que fica entre seus principais ativos de dados e tudo o mais, incluindo a rede. Eu digo “paranóico” porque essa é a filosofia de design por trás do Metadefender. Não posso descrever isso melhor do que eles, então aqui vai:

A maioria das soluções de segurança cibernética depende da detecção como sua principal função de proteção. A limpeza de dados do MetaDefender não depende da detecção. Ele assume que todos os arquivos podem estar infectados e reconstrói seu conteúdo usando um processo seguro e eficiente. Ele suporta mais de 30 tipos de arquivos e gera arquivos seguros e utilizáveis. A limpeza de dados é extremamente eficaz na prevenção de ataques direcionados, ransomware e outros tipos de ameaças de malware conhecidas e desconhecidas.

Existem alguns recursos interessantes que o Metadefender oferece:

  • Prevenção de perda de dados: em termos simples, essa é a capacidade de substituir e proteger as informações confidenciais detectadas no conteúdo do arquivo. Por exemplo, um recibo em PDF com o número do cartão de crédito visível será ofuscado pelo Metadefender.
  • Implante localmente ou na nuvem (dependendo de como você é paranóico!).
  • Veja diretamente mais de 30 tipos de formatos de arquivo (zip, tar, rar, etc.) e 4.500 truques de falsificação de tipos de arquivos.
  • Implantações multicanais – proteja apenas arquivos ou fique louco com o controle de email, rede e login.
  • Fluxos de trabalho personalizados para aplicar diferentes tipos de pipelines de verificação com base em regras personalizadas.

O Metadefender inclui mais de 30 mecanismos, mas os abstrai muito bem, para que você nunca precise pensar neles. Se você é uma empresa de médio a grande porte que não pode pagar pesadelos de segurança, o Metadefender é uma ótima opção.

Urlscan.io

Se você lida principalmente com páginas da web e sempre quis uma análise mais aprofundada do que eles estão fazendo nos bastidores, Urlscan.io é uma excelente arma no seu arsenal.

A quantidade de informações que o Urlscan.io fornece é impressionante. Entre outras coisas, você pode ver:

  • Um número total de endereços IP contatados pela página.
  • Lista de geografias e domínios para os quais a página enviou informações.
  • Tecnologias usadas no front-end e no back-end do site (nenhuma reivindicação de precisão é feita, mas é assustadoramente precisa!).
  • Informações de certificado de domínio e SSL
  • Interações HTTP detalhadas, juntamente com carga útil de solicitação, nomes de servidores, tempos de resposta e muito mais.
  • Redirecionamentos ocultos e solicitações com falha
  • Links de saída
  • Análise JavaScript (variáveis ​​globais usadas nos scripts etc.)
  • Análise de árvore DOM, conteúdo de formulários e muito mais.

Aqui está como tudo parece:

A API é simples e direta, permitindo enviar uma URL para verificação, bem como verificar o histórico de verificação dessa URL (verificações executadas por outras pessoas). Contudo, Urlscan.io fornece uma riqueza de informações para qualquer empresa ou indivíduo em questão.

SUCURI

SUCURI é uma plataforma bem conhecida quando se trata de verificação online de sites em busca de ameaças e malware. O que você pode não saber é que eles têm um API REST também, permitindo que o mesmo poder seja aproveitado programaticamente.

Não há muito o que falar aqui, exceto que a API é simples e funciona bem. Obviamente, a Sucuri não se limita a uma API de verificação. Portanto, enquanto você estiver nisso, recomendo que você verifique alguns de seus recursos avançados, como verificação no servidor (basicamente, você fornece as credenciais do FTP e faz login e verifica todos os arquivos em busca de ameaças!).

Quttera

Nossa última entrada nesta lista é Quttera, o que oferece algo um pouco diferente. Em vez de verificar o domínio e as páginas enviadas sob demanda, o Quttera também pode executar monitoramento contínuo, ajudando a evitar vulnerabilidades de dia zero.

A API REST é simples e poderosa e pode retornar mais alguns formatos do que JSON (XML e YAML, por exemplo). Multithreading e simultaneidade completos são suportados em varreduras, permitindo executar várias varreduras exaustivas em paralelo. Como o serviço é executado em tempo real, é inestimável para as empresas que oferecem ofertas de missão crítica, onde o tempo de inatividade significa o fim.

Conclusão

Ferramentas de segurança como as abordadas neste artigo são simplesmente uma linha de defesa extra (ou cuidado, se você preferir). Assim como um programa antivírus, há muito o que fazer, mas não há como fornecer um método de verificação à prova de falhas. Isso ocorre simplesmente porque um programa escrito com intenção maliciosa é o mesmo para o computador que foi escrito para causar um impacto positivo – ambos pedem recursos do sistema e fazem solicitações de rede; o diabo está no contexto, que não é para os computadores funcionarem com sucesso.

Dito isto, essas APIs fornecem uma cobertura de segurança robusta que é desejável na maioria dos casos – tanto para sites externos quanto para o seu! ��

TAG:

  • API

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map