Rilevamento di minacce alla sicurezza sul Web tramite API

Il Web è pieno di pagine dannose. Sfortunatamente, questi possono esistere anche sui siti dei tuoi clienti / fornitori.


Oggi nessuna azienda è senza alcuna integrazione che si nutre o fornisce input al sito Web di un cliente o di un fornitore. Ovviamente, la tua azienda non esisterà senza questi servizi, ma a volte è una minaccia a causa di questi servizi. I siti esterni con cui interagisci possono avere contenuti dannosi su di essi (installati appositamente o compromessi da una terza parte) e se tale contenuto raggiunge la destinazione prestabilita, le conseguenze possono essere disastrose.

Non possiamo scansionare manualmente siti Web alla ricerca di pagine dannose?

Potrebbe sembrare che uno sviluppatore competente sia in grado di scansionare le pagine alla ricerca di vulnerabilità. Sfortunatamente, questo non è nemmeno vicino alla realtà per molte ragioni:

  • Gli sviluppatori non sono specializzati nel rilevamento / sicurezza. La loro esperienza è nella costruzione di software complessi mettendo insieme molti sottosistemi più piccoli; in altre parole, semplicemente non hanno lo skillset.
  • Anche se dovessi imbatterti in uno sviluppatore abbastanza talentuoso, il compito sarebbe semplicemente troppo. Una tipica pagina web ricca di funzionalità contiene migliaia di righe di codice: ricucirle tutte insieme per elaborare il quadro più grande e le piccole scappatoie è a dir poco un incubo. Potresti anche comandare a qualcuno di mangiare un intero elefante per pranzo!
  • Per ridurre i tempi di caricamento della pagina, i siti Web spesso comprimono e minimizzano i propri file CSS e JavaScript. Ciò si traduce in un pasticcio di codice così minuscolo che è perfettamente impossibile da leggere.

Cosa pensi che faccia questo codice? : kappa: (fonte elgg.org)

Se questo sembra ancora leggibile, è perché le anime buone lì hanno deciso di conservare i nomi delle variabili in un ampio contesto. Prova il codice sorgente per jQuery, che qualcuno può ospitare sul proprio sito Web e manomettere (due righe da qualche parte in questo pasticcio):

Per non parlare del fatto che la fonte è vicina a 5.000 righe di codice. ��

Questa è solo una sceneggiatura di cui stiamo parlando. Una pagina web in genere ha 5-15 script allegati ed è probabile che tu stia lavorando con 10-20 pagine Web in totale. Immagina di doverlo fare ogni giorno. . . O peggio, alcune volte al giorno!

Per fortuna, è possibile scansionare gli URL in modo rapido e semplice tramite le API. È possibile eseguire la scansione non solo delle pagine Web, ma anche dei file forniti per il download. Diamo un’occhiata ad alcuni degli strumenti API che ti aiutano a farlo. E oh, dal momento che si tratta di API, gli sforzi del tuo sviluppatore verranno offerti molto meglio se gli chiedi di costruire uno strumento per scanner di siti Web utilizzando queste API. ��

Rischio Web di Google

Non sorprende che un correttore di pagine web provenga dalla società che possiede praticamente Internet (tutte le sue pagine web, intendo). Ma c’è un problema: Rischio Web di Google è ancora in beta ed è disponibile su richiesta solo. Essere in beta significa più cambiamenti di rottura.

Tuttavia, dato che l’API è piuttosto semplice, qualsiasi modifica può essere affrontata dallo sviluppatore utilizzando uno strumento di monitoraggio dell’API e alcuni minuti di tempo di sviluppo. ��

Anche l’uso dell’API è semplicissimo. Per controllare una singola pagina utilizzando la riga di comando, è sufficiente inviare una richiesta come segue:

ricciolo -H "Tipo di contenuto: application / json" "https://webrisk.googleapis.com/v1beta1/uris:search?key=YOUR_API_KEY&threatTypes = MALWARE&uri = http% 3A% 2F% 2Ftestsafebrowsing.appspot.com% 2FS% 2Fmalware.html"

Se la richiesta ha avuto esito positivo, l’API risponde con il tipo di vulnerabilità nella pagina:

{
"minaccia": {
"threatTypes": [
"MALWARE"
],
"Scadenza": "2019-07-17T15: 01: 23.045123456Z"
}
}

Come puoi vedere, l’API conferma che la pagina contiene malware.

Tieni presente che l’API di rischio Web di Google non esegue una diagnostica su richiesta su un URL o un file di tua scelta. Consulta una lista nera gestita da Google in base ai risultati della ricerca e ai rapporti e segnala se l’URL si trova in tale lista nera o meno. In altre parole, se questa API dice che un URL è sicuro, è sicuro presumere che sia abbastanza sicuro, ma non ci sono garanzie.

VirusTotal

VirusTotal è un altro servizio interessante che puoi utilizzare per scansionare non solo gli URL, ma anche i singoli file (in questo senso, lo metto al di sopra di Google Web Risk in termini di utilità). Se hai voglia di provare il servizio, vai sul sito Web e direttamente sulla home page, c’è un’opzione per iniziare.

Sebbene VirusTotal sia disponibile come piattaforma gratuita creata e curata da una vivace comunità, offre una versione commerciale della sua API. Ecco perché vuoi pagare per il servizio premium:

  • Tasso di richieste flessibile e quota giornaliera (rispetto alle sole quattro richieste al minuto per l’API pubblica)
  • La risorsa inviata viene scansionata da VirusTotal dal suo antivirus e vengono restituite ulteriori informazioni diagnostiche.
  • Informazioni basate sul comportamento sui file inviati (i file verranno collocati in diversi ambienti sandbox per monitorare attività sospette)
  • Interroga il database dei file VirusTotal per vari parametri (sono supportate query complesse)
  • SLA e tempi di risposta rigorosi (i file inviati a VirusTotal tramite l’API pubblica vengono messi in coda e impiegano molto tempo per l’analisi)

Se scegli l’API VirusTotal privata, può essere uno dei migliori investimenti che tu abbia mai fatto in un prodotto SaaS per la tua azienda.

Scanii

Un’altra raccomandazione per le API scanner di sicurezza è Scanii. È una semplice API REST in grado di scansionare documenti / file inviati per la presenza di minacce. Pensalo come uno scanner antivirus su richiesta che può essere eseguito e ridimensionato senza sforzo!

Ecco le chicche che Scanii offre:

  • In grado di rilevare malware, script di phishing, contenuti spam, contenuti NSFW (Not Safe For Work), ecc.
  • È costruito su Amazon S3 per un facile ridimensionamento e archiviazione di file a rischio zero.
  • Rileva testi offensivi, non sicuri o potenzialmente pericolosi in oltre 23 lingue.
  • Un approccio semplice, senza fronzoli e mirato alla scansione di file basata su API (in altre parole, senza funzioni inutilmente “utili”)

La vera cosa positiva è che Scanii è un metamotore; cioè, non esegue scansioni da solo, ma utilizza una serie di motori sottostanti per le gambe. È un’ottima risorsa poiché non devi essere legato a un particolare motore di sicurezza, il che significa che non devi preoccuparti di modifiche API non funzionanti e quant’altro.

Vedo Scanii come un enorme vantaggio per le piattaforme che dipendono dai contenuti generati dagli utenti. Un altro caso d’uso è quello della scansione dei file generati da un servizio fornitore di cui non ci si può fidare al 100%.

Metadefender

Per alcune organizzazioni, la scansione di file e pagine Web su un singolo endpoint non è sufficiente. Hanno un flusso di informazioni complesso e nessuno degli endpoint può essere compromesso. Per questi casi d’uso, Metadefender è la soluzione ideale.

Pensa a Metadefender come a un gatekeeper paranoico che si colloca tra le tue risorse di dati core e tutto il resto, compresa la rete. Dico “paranoico” perché questa è la filosofia progettuale alla base di Metadefender. Non posso descriverlo meglio di loro, quindi ecco:

La maggior parte delle soluzioni di sicurezza informatica si basa sul rilevamento come principale funzione di protezione. La sanificazione dei dati MetaDefender non si basa sul rilevamento. Presuppone che tutti i file possano essere infetti e ricostruisce il loro contenuto utilizzando un processo sicuro ed efficiente. Supporta più di 30 tipi di file e genera file sicuri e utilizzabili. La sanificazione dei dati è estremamente efficace nella prevenzione di attacchi mirati, ransomware e altri tipi di minacce malware note e sconosciute.

Ci sono alcune caratteristiche interessanti che Metadefender offre:

  • Prevenzione della perdita di dati: in termini semplici, questa è la capacità di ignorare e salvaguardare le informazioni sensibili rilevate all’interno del contenuto del file. Ad esempio, una ricevuta PDF con il numero di carta di credito visibile verrà offuscata da Metadefender.
  • Distribuisci localmente o nel cloud (a seconda di quanto sei paranoico!).
  • Guarda oltre 30 tipi di formati di archiviazione (zip, tar, rar, ecc.) E 4.500 trucchi per lo spoofing dei tipi di file.
  • Distribuzioni multicanale: proteggi solo i file o passa al controllo della posta elettronica, della rete e del login.
  • Flussi di lavoro personalizzati per applicare diversi tipi di pipeline di scansione in base a regole personalizzate.

Metadefender include oltre 30 motori ma li astrae bene, quindi non devi mai pensarci. Se sei un’azienda di medie e grandi dimensioni che non può permettersi incubi di sicurezza, Metadefender è un’ottima opzione.

Urlscan.io

Se hai principalmente a che fare con le pagine web e hai sempre desiderato uno sguardo più approfondito su ciò che stanno facendo dietro le quinte, Urlscan.io è un’arma eccellente nel tuo arsenale.

La quantità di informazioni che Urlscan.io scarica è a dir poco impressionante. Tra le altre cose, puoi vedere:

  • Un numero totale di indirizzi IP contattati dalla pagina.
  • Elenco di aree geografiche e domini a cui la pagina ha inviato informazioni.
  • Tecnologie utilizzate sul front-end e sul back-end del sito (non vengono fatte dichiarazioni di accuratezza, ma è allarmantemente preciso!).
  • Informazioni sul dominio e sul certificato SSL
  • Interazioni HTTP dettagliate con payload delle richieste, nomi dei server, tempi di risposta e molto altro.
  • Reindirizzamenti nascosti e richieste non riuscite
  • Collegamenti in uscita
  • Analisi JavaScript (variabili globali utilizzate negli script, ecc.)
  • Analisi dell’albero DOM, contenuto dei moduli e altro.

Ecco come appare tutto:

L’API è semplice e diretta, che consente di inviare un URL per la scansione, oltre a controllare la cronologia di scansione di tale URL (scansioni eseguite da altri, vale a dire). Tutto sommato, Urlscan.io fornisce una vasta gamma di informazioni per qualsiasi azienda o individuo interessato.

Sucuri

SUCURI è una piattaforma ben nota quando si tratta di scansione online di siti Web per minacce e malware. Quello che potresti non sapere è che hanno un API REST inoltre, consentendo la stessa potenza da sfruttare a livello di programmazione.

Non c’è molto di cui parlare qui, tranne che l’API è semplice e funziona bene. Naturalmente, Sucuri non si limita a un’API di scansione, quindi mentre ci sei, ti consiglio di dare un’occhiata ad alcune delle sue potenti funzionalità come scansione lato server (in pratica, fornisci le credenziali FTP, accede e scansiona tutti i file alla ricerca di minacce!).

Quttera

La nostra ultima voce in questo elenco è Quttera, che offre qualcosa di leggermente diverso. Anziché eseguire la scansione del dominio e delle pagine inviate su richiesta, Quttera può anche eseguire un monitoraggio continuo, aiutandoti a evitare le vulnerabilità zero-day.

L’API REST è semplice e potente e può restituire alcuni formati in più rispetto a JSON (XML e YAML, ad esempio). Il multithreading e la concorrenza sono supportati nelle scansioni, consentendo di eseguire più scansioni esaustive in parallelo. Poiché il servizio viene eseguito in tempo reale, è inestimabile per le aziende che fanno offerte mission-critical in cui i tempi di inattività significano la morte.

Conclusione

Gli strumenti di sicurezza come quelli trattati in questo articolo sono semplicemente una linea di difesa aggiuntiva (o attenzione, se vuoi). Proprio come un programma antivirus, ci sono molte cose che possono fare, ma non possono in alcun modo fornire un metodo di scansione a prova di errore. Questo è semplicemente perché un programma scritto con intenzioni dannose è lo stesso per il computer di quello scritto per avere un impatto positivo: entrambi richiedono risorse di sistema ed effettuano richieste di rete; il diavolo sta nel contesto, che non è per i computer a funzionare correttamente.

Detto questo, queste API forniscono una solida copertura di sicurezza che è auspicabile nella maggior parte dei casi, sia per i siti Web esterni che per i tuoi! ��

TAGS:

  • API

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map