So scannen Sie über einen Antivirus-API-Dienst nach Viren

von

Das Web ist voll von schädlichen Seiten. Leider können diese auch auf Ihren Kunden-/Lieferantenseiten vorhanden sein.

Kein Unternehmen kommt heute ohne eine Integration aus, die sich aus der Website eines Kunden oder Anbieters speist oder Eingaben dafür bereitstellt. Natürlich wird Ihr Unternehmen ohne diese Dienste nicht existieren, aber manchmal ist es aufgrund dieser Dienste eine Bedrohung. Die externen Websites, mit denen Sie interagieren, können bösartige Inhalte enthalten (ob absichtlich installiert oder von Dritten kompromittiert), und wenn diese Inhalte ihren Weg an den vorbestimmten Ort finden, können die Folgen katastrophal sein.

Können wir Websites nicht manuell auf bösartige Seiten scannen?

Es mag den Anschein haben, dass ein kompetenter Entwickler in der Lage sein sollte, Seiten auf Schwachstellen zu scannen. Leider entspricht dies aus vielen Gründen nicht einmal der Realität:

  • Entwickler sind nicht auf Erkennung/Sicherheit spezialisiert. Ihre Expertise liegt in der Erstellung komplexer Software durch die Zusammenstellung vieler kleinerer Subsysteme; mit anderen Worten, sie haben einfach nicht die erforderlichen Fähigkeiten.
  • Selbst wenn Sie auf einen talentierten Entwickler stoßen würden, wäre die Aufgabe einfach zu viel. Eine typische, funktionsreiche Webseite enthält Tausende von Codezeilen – sie alle zusammenzufügen, um das Gesamtbild sowie die winzigen Schlupflöcher auszuarbeiten, ist nichts weniger als ein Albtraum. Sie könnten genauso gut jemandem befehlen, einen ganzen Elefanten zum Mittagessen zu essen!
  • Um die Ladezeiten von Seiten zu verkürzen, komprimieren und verkleinern Websites häufig ihre CSS- und JavaScript-Dateien. Dies führt zu einem so suppigen Durcheinander von Code, dass es absolut unmöglich ist, ihn zu lesen.

Was denkst du, was dieser Code tut? :kappa: (Quelle elgg.org)

Wenn das noch lesbar aussieht, liegt das daran, dass die guten Seelen dort entschieden haben, die Variablennamen in einem großen Kontext zu erhalten. Probieren Sie den Quellcode für jQuery aus, den jemand auf seiner Website hosten und manipulieren kann (zwei Zeilen irgendwo in diesem Durcheinander):

Ganz zu schweigen davon, dass die Quelle fast 5.000 Codezeilen umfasst. 😎

Dies ist nur ein einzelnes Skript, von dem wir sprechen. An eine Webseite sind normalerweise 5-15 Skripte angehängt, und es ist wahrscheinlich, dass Sie insgesamt mit 10-20 Webseiten arbeiten. Stellen Sie sich vor, Sie müssten dies jeden Tag tun. . . Oder noch schlimmer, ein paar Mal am Tag!

Glücklicherweise ist es möglich, URLs schnell und einfach über APIs zu scannen. Sie können nicht nur Webseiten scannen, sondern auch Dateien, die Ihnen zum Download bereitgestellt werden. Sehen wir uns einige der API-Tools an, die Ihnen dabei helfen. Und oh, da dies APIs sind, werden die Bemühungen Ihres Entwicklers viel besser unterstützt, wenn Sie ihn bitten, ein Website-Scanner-Tool mit diesen APIs zu erstellen. 😀

Google Web-Risiko

Es ist keine Überraschung, dass ein Webseitenprüfer von der Firma kommt, die praktisch das Internet besitzt (alle seine Webseiten, meine ich). Aber da ist ein Fang: Google Web-Risiko befindet sich noch in der Beta-Phase und ist auf verfügbar Anfrage nur. In der Beta-Version zu sein bedeutet mehr Breaking Changes.

  Bilder scannen und in Text umwandeln

Da die API jedoch ziemlich einfach ist, können alle Änderungen von Ihrem Entwickler mit einem API-Überwachungstool und ein paar Minuten Entwicklungszeit angegangen werden. 🙂

Die Verwendung der API ist ebenfalls supereinfach. Um eine einzelne Seite über die Befehlszeile zu prüfen, senden Sie einfach eine Anfrage wie folgt:

curl -H "Content-Type: application/json" "https://webrisk.googleapis.com/v1beta1/uris:search?key=YOUR_API_KEY&threatTypes=MALWARE&uri=http%3A%2F%2Ftestsafebrowsing.appspot.com%2Fs%2Fmalware.html"

Wenn die Anfrage erfolgreich war, antwortet die API mit der Art der Schwachstelle auf der Seite:

{
  "threat": {
    "threatTypes": [
      "MALWARE"
    ],
    "expireTime": "2019-07-17T15:01:23.045123456Z"
  }
}

Wie Sie sehen können, bestätigt die API, dass die Seite bekanntermaßen Malware enthält.

Beachten Sie, dass die Google Web Risk API keine On-Demand-Diagnose für eine URL oder Datei Ihrer Wahl durchführt. Es konsultiert eine von Google geführte schwarze Liste auf der Grundlage der Suchergebnisse und Berichte und meldet, ob die URL in dieser schwarzen Liste enthalten ist oder nicht. Mit anderen Worten, wenn diese API sagt, dass eine URL sicher ist, kann man davon ausgehen, dass sie ziemlich sicher ist, aber es gibt keine Garantien.

VirusTotal

VirusTotal ist ein weiterer cooler Dienst, mit dem Sie nicht nur URLs, sondern auch einzelne Dateien scannen können (in diesem Sinne stelle ich ihn in Bezug auf die Nützlichkeit über Google Web Risk). Wenn Sie den Service ausprobieren möchten, gehen Sie einfach zur Website, und direkt auf der Startseite gibt es eine Option, um loszulegen.

Während VirusTotal als kostenlose Plattform verfügbar ist, die von einer lebhaften Community entwickelt und kuratiert wird, bietet es eine kommerzielle Version seiner API an. Hier ist, warum Sie für den Premium-Service bezahlen sollten:

  • Flexible Anforderungsrate und Tageskontingent (im Gegensatz zu den bloßen vier Anforderungen pro Minute für die öffentliche API)
  • Die übermittelte Ressource wird von VirusTotal von ihrem Antivirenprogramm gescannt, und zusätzliche Diagnoseinformationen werden zurückgegeben.
  • Verhaltensbasierte Informationen zu von Ihnen eingereichten Dateien (die Dateien werden in verschiedenen Sandbox-Umgebungen platziert, um verdächtige Aktivitäten zu überwachen)
  • Abfragen der Dateidatenbank von VirusTotal nach verschiedenen Parametern (komplexe Abfragen werden unterstützt)
  • Strenge SLA- und Antwortzeiten (Dateien, die über die öffentliche API an VirusTotal gesendet werden, werden in eine Warteschlange gestellt und benötigen eine beträchtliche Zeit für die Analyse)

Wenn Sie sich für die private VirusTotal-API entscheiden, kann dies eine der besten Investitionen sein, die Sie jemals in ein SaaS-Produkt für Ihr Unternehmen getätigt haben.

Scanii

Eine weitere Empfehlung für Sicherheitsscanner-APIs ist Scanii. Es ist eine einfache REST-API, die übermittelte Dokumente/Dateien auf das Vorhandensein von Bedrohungen scannen kann. Stellen Sie es sich als On-Demand-Virenscanner vor, der mühelos ausgeführt und skaliert werden kann!

Hier sind die Leckereien, die Scanii anbietet:

  • Kann Malware, Phishing-Skripte, Spam-Inhalte, NSFW-Inhalte (Not Safe For Work) usw. erkennen.
  • Es basiert auf Amazon S3 für einfache Skalierung und risikofreie Dateispeicherung.
  • Erkennen Sie anstößige, unsichere oder potenziell gefährliche Texte in über 23 Sprachen.
  • Ein einfacher, schnörkelloser, fokussierter Ansatz für das API-basierte Scannen von Dateien (mit anderen Worten, keine unnötig „hilfreichen“ Funktionen)
  So erstellen Sie einen guten Live-Hintergrund für Ihr iPhone

Das wirklich Gute ist, dass Scanii eine Meta-Engine ist; Das heißt, es führt keine Scans selbst durch, sondern verwendet eine Reihe von zugrunde liegenden Engines, die die Beinarbeit erledigen. Es ist ein großer Vorteil, da Sie nicht an eine bestimmte Sicherheits-Engine gebunden sein müssen, was bedeutet, dass Sie sich keine Gedanken über fehlerhafte API-Änderungen und so weiter machen müssen.

Ich sehe Scanii als massiven Segen für Plattformen, die von nutzergenerierten Inhalten abhängig sind. Ein weiterer Anwendungsfall ist das Scannen von Dateien, die von einem Anbieterdienst generiert wurden, dem Sie nicht zu 100 % vertrauen können.

Metaverteidiger

Für einige Organisationen reicht das Scannen von Dateien und Webseiten an einem einzelnen Endpunkt nicht aus. Sie haben einen komplexen Informationsfluss und keiner der Endpunkte kann kompromittiert werden. Für diese Anwendungsfälle Metaverteidiger ist die ideale Lösung.

Stellen Sie sich Metadefender als einen paranoiden Torwächter vor, der zwischen Ihren zentralen Datenbeständen und allem anderen sitzt, einschließlich des Netzwerks. Ich sage „paranoid“, weil das die Designphilosophie hinter Metadefender ist. Ich kann das nicht besser beschreiben als sie, also hier ist:

Die meisten Cyber-Sicherheitslösungen verlassen sich auf Erkennung als ihre zentrale Schutzfunktion. Die Datenbereinigung von MetaDefender ist nicht auf Erkennung angewiesen. Es geht davon aus, dass alle Dateien infiziert sein könnten, und baut ihren Inhalt mithilfe eines sicheren und effizienten Prozesses wieder auf. Es unterstützt mehr als 30 Dateitypen und gibt sichere und verwendbare Dateien aus. Die Datenbereinigung ist äußerst effektiv, um gezielte Angriffe, Ransomware und andere Arten bekannter und unbekannter Malware-Bedrohungen zu verhindern.

Es gibt einige nette Funktionen, die Metadefender bietet:

  • Data Loss Prevention: Einfach ausgedrückt ist dies die Fähigkeit, vertrauliche Informationen, die in Dateiinhalten erkannt wurden, außer Kraft zu setzen und zu schützen. Beispielsweise wird ein PDF-Beleg mit sichtbarer Kreditkartennummer von Metadefender verschleiert.
  • Stellen Sie lokal oder in der Cloud bereit (je nachdem, wie paranoid Sie sind!).
  • Durchsuchen Sie mehr als 30 Arten von Archivierungsformaten (zip, tar, rar usw.) und 4.500 Dateityp-Spoofing-Tricks.
  • Multi-Channel-Bereitstellungen – Sichern Sie nur Dateien oder gehen Sie mit E-Mail-, Netzwerk- und Login-Kontrolle durch.
  • Benutzerdefinierte Workflows zum Anwenden verschiedener Arten von Scan-Pipelines basierend auf benutzerdefinierten Regeln.

Metadefender enthält mehr als 30 Engines, abstrahiert sie jedoch gut, sodass Sie nie darüber nachdenken müssen. Wenn Sie ein mittleres bis großes Unternehmen sind, das sich Sicherheitsalbträume einfach nicht leisten kann, ist Metadefender eine großartige Option.

Urlscan.io

Wenn Sie hauptsächlich mit Webseiten zu tun haben und schon immer einen tieferen Einblick in ihre Arbeit hinter den Kulissen haben wollten, Urlscan.io ist eine ausgezeichnete Waffe in Ihrem Arsenal.

  Top 7 verwaltete zuverlässige E-Mail-APIs für kleine bis große Unternehmen

Die Menge an Informationen, die Urlscan.io ausgibt, ist geradezu beeindruckend. Zu sehen sind unter anderem:

  • Die Gesamtzahl der von der Seite kontaktierten IP-Adressen.
  • Liste der Regionen und Domänen, an die die Seite Informationen gesendet hat.
  • Technologien, die im Front-End und Back-End der Website verwendet werden (es werden keine Genauigkeitsansprüche erhoben, aber es ist erschreckend genau!).
  • Domänen- und SSL-Zertifikatsinformationen
  • Detaillierte HTTP-Interaktionen zusammen mit Anfragenutzlast, Servernamen, Antwortzeiten und vielem mehr.
  • Versteckte Weiterleitungen und fehlgeschlagene Anfragen
  • Ausgehende Links
  • JavaScript-Analyse (in den Skripten verwendete globale Variablen usw.)
  • DOM-Baumanalyse, Formularinhalte und mehr.

So sieht das Ganze aus:

Die API ist einfach und unkompliziert und ermöglicht es Ihnen, eine URL zum Scannen einzureichen und den Scan-Verlauf dieser URL zu überprüfen (dh von anderen durchgeführte Scans). Alles in allem, Urlscan.io bietet eine Fülle von Informationen für alle betroffenen Unternehmen oder Einzelpersonen.

SUCURI

SUCURI ist eine bekannte Plattform, wenn es um das Online-Scannen von Websites auf Bedrohungen und Malware geht. Was Sie vielleicht nicht wissen, ist, dass sie a REST-API Außerdem kann die gleiche Leistung programmatisch genutzt werden.

Hier gibt es nicht viel zu sagen, außer dass die API einfach ist und gut funktioniert. Natürlich ist Sucuri nicht auf eine Scan-API beschränkt, also würde ich Ihnen empfehlen, sich einige seiner leistungsstarken Funktionen anzusehen, wie z serverseitiges Scannen (im Grunde geben Sie die FTP-Anmeldeinformationen ein, und es meldet sich an und scannt alle Dateien auf Bedrohungen!).

Quttera

Unser letzter Eintrag in dieser Liste ist Quttera, die etwas etwas anderes bietet. Anstatt die Domäne und übermittelte Seiten bei Bedarf zu scannen, kann Quttera auch eine kontinuierliche Überwachung durchführen und Ihnen dabei helfen, Zero-Day-Schwachstellen zu vermeiden.

Die REST-API ist einfach und leistungsstark und kann einige Formate mehr zurückgeben als JSON (z. B. XML und YAML). Vollständiges Multithreading und Parallelität werden in Scans unterstützt, sodass Sie mehrere umfassende Scans parallel ausführen können. Da der Service in Echtzeit ausgeführt wird, ist er für Unternehmen von unschätzbarem Wert, die auf unternehmenskritische Angebote setzen, bei denen Ausfallzeiten den Untergang bedeuten.

Fazit

Sicherheitstools wie die in diesem Artikel behandelten sind einfach eine zusätzliche Verteidigungslinie (oder Vorsicht, wenn Sie so wollen). Genau wie ein Antivirenprogramm können diese eine Menge tun, aber auf keinen Fall können sie eine ausfallsichere Scanmethode bieten. Das liegt einfach daran, dass ein Programm, das mit böswilliger Absicht geschrieben wurde, für den Computer dasselbe ist wie ein Programm, das mit positiver Wirkung geschrieben wurde – beide verlangen Systemressourcen und stellen Netzwerkanforderungen. Der Teufel liegt im Kontext, der für Computer nicht erfolgreich ist.

Allerdings bieten diese APIs eine robuste Sicherheitsabdeckung, die in den meisten Fällen wünschenswert ist – sowohl für externe Websites als auch für Ihre eigenen! 🙂