La Web está llena de páginas maliciosas. Desafortunadamente, estos también pueden existir en los sitios de sus clientes / proveedores.

Hoy en día, ningún negocio carece de alguna integración que se alimente o proporcione información al sitio web de un cliente o proveedor. Por supuesto, su negocio no existirá sin estos servicios, pero a veces es una amenaza. porque estos servicios. Los sitios externos con los que interactúa pueden tener contenido malicioso (ya sea instalado a propósito o comprometido por un tercero), y si ese contenido llega al lugar predeterminado, las consecuencias pueden ser desastrosas.

¿No podemos escanear sitios web en busca de páginas maliciosas manualmente?

Podría parecer que un desarrollador competente debería poder escanear páginas en busca de vulnerabilidades. Desafortunadamente, esto ni siquiera se acerca a la realidad por muchas razones:

  • Los desarrolladores no se especializan en detección / seguridad. Su experiencia está en la creación de software complejo mediante la creación de muchos subsistemas más pequeños; en otras palabras, simplemente no tienen el conjunto de habilidades.
  • Incluso si te encontraras con un desarrollador lo suficientemente talentoso, la tarea sería simplemente demasiado. Una página web típica y rica en funciones contiene miles de líneas de código; unirlas todas juntas para obtener una imagen más amplia, así como las pequeñas lagunas, es nada menos que una pesadilla. ¡También podrías ordenarle a alguien que se coma un elefante entero para el almuerzo!
  • Para reducir los tiempos de carga de la página, los sitios web a menudo comprimen y minimizan sus archivos CSS y JavaScript. Esto da como resultado un lío de código tan espeso que es perfectamente imposible de leer.
¿Qué crees que hace este código? : kappa: (Fuente elgg.org)

Si esto todavía parece legible, es porque las buenas almas decidieron preservar los nombres de las variables en un contexto amplio. Pruebe el código fuente de jQuery, que alguien puede alojar en su sitio web y manipular (dos líneas en algún lugar de este lío):

Sin mencionar que la fuente tiene cerca de 5,000 líneas de código. 😎

Este es solo un guión del que estamos hablando. Una página web suele tener de 5 a 15 scripts adjuntos y es probable que esté trabajando con entre 10 y 20 páginas web en total. Imagínese tener que hacer esto todos los días. . . O peor aún, ¡algunas veces al día!

Afortunadamente, es posible escanear URLs rápida y fácilmente a través de API. Puede escanear no solo las páginas web, sino también los archivos que se le proporcionan para descargar. Veamos algunas de las herramientas API que le ayudan a hacer esto. Y, dado que se trata de API, los esfuerzos de su desarrollador serán mucho mejores si les pide que creen una herramienta de escáner de sitios web utilizando estas API. 😀

Google Web Risk

No es de extrañar que un verificador de páginas web provenga de la empresa que prácticamente posee Internet (todas sus páginas web, quiero decir). Pero hay una trampa: Riesgo web de Google todavía está en beta y está disponible en solicita solamente. Estar en beta significa más cambios importantes.

Aún así, dado que la API es bastante sencilla, su desarrollador puede abordar cualquier cambio mediante un Herramienta de monitoreo de API y unos minutos de tiempo de desarrollo. 🙂

Usar la API también es muy fácil. Para verificar una sola página usando la línea de comando, simplemente envíe una solicitud de la siguiente manera:

curl -H "Content-Type: application/json" "https://webrisk.googleapis.com/v1beta1/uris:search?key=YOUR_API_KEY&threatTypes=MALWARE&uri=http%3A%2F%2Ftestsafebrowsing.appspot.com%2Fs%2Fmalware.html"

Si la solicitud fue exitosa, la API responde con el tipo de vulnerabilidad en la página:

{
  "threat": {
    "threatTypes": [
      "MALWARE"
    ],
    "expireTime": "2019-07-17T15:01:23.045123456Z"
  }
}

Como puede ver, la API confirma que se sabe que la página contiene malware.

Tenga en cuenta que la API de riesgo web de Google no realiza un diagnóstico a pedido en una URL o archivo de su elección. Consulta una lista negra mantenida por Google basada en los resultados de la búsqueda e informa e informa si la URL está en esa lista negra o no. En otras palabras, si esta API dice que una URL es segura, es seguro asumir que es bastante segura, pero no hay garantías.

VirusTotal

VirusTotal es otro servicio interesante que puede utilizar para escanear no solo URL, sino también archivos individuales (en ese sentido, lo coloco por encima de Google Web Risk en términos de utilidad). Si está ansioso por probar el servicio, simplemente diríjase al sitio web y, directamente en la página de inicio, hay una opción para comenzar.

Si bien VirusTotal está disponible como una plataforma gratuita creada y curada por una comunidad vibrante, ofrece una versión comercial de su API. He aquí por qué querría pagar por el servicio premium:

  • Tasa de solicitud flexible y cuota diaria (a diferencia de las meras cuatro solicitudes por minuto para la API pública)
  • El recurso enviado es analizado por VirusTotal por su antivirus, y se devuelve información de diagnóstico adicional.
  • Información basada en el comportamiento sobre los archivos que envíe (los archivos se colocarán en diferentes entornos de espacio aislado para monitorear actividades sospechosas)
  • Consultar la base de datos de archivos de VirusTotal para varios parámetros (se admiten consultas complejas)
  • SLA estricto y tiempos de respuesta (los archivos enviados a VirusTotal a través de la API pública se ponen en cola y toman un tiempo considerable para su análisis)

Si opta por la API privada de VirusTotal, puede ser una de las mejores inversiones que haya realizado en un producto SaaS para su empresa.

Scanii

Otra recomendación para las API de análisis de seguridad es Escanii. Es una API REST simple que puede escanear documentos/archivos enviados en busca de amenazas. Piense en ello como un servicio bajo demanda escáner de virus que se puede ejecutar y escalar sin esfuerzo!

Estos son los beneficios que ofrece Scanii:

  • Capaz de detectar malware, scripts de phishing, contenido de spam, contenido NSFW (Not Safe For Work), etc.
  • Está construido sobre Amazon S3 para un fácil escalado y almacenamiento de archivos sin riesgo.
  • Detecta texto ofensivo, inseguro o potencialmente peligroso en más de 23 idiomas.
  • Un enfoque simple, sencillo y enfocado para el escaneo de archivos basado en API (en otras palabras, sin funciones innecesariamente "útiles")

Lo realmente bueno es que Scanii es un meta motor; es decir, no realiza exploraciones por sí solo, sino que utiliza un conjunto de motores subyacentes para el trabajo preliminar. Es un gran activo, ya que no tiene que estar atado a un motor de seguridad en particular, lo que significa que no debe preocuparse por cambios de API rotos y demás.

Veo a Scanii como una gran ayuda para las plataformas que dependen del contenido generado por el usuario. Otro caso de uso es el de escanear archivos generados por un servicio de proveedor en el que no se puede confiar al 100%.

Metadefender

Para algunas organizaciones, escanear archivos y páginas web en un solo punto final no es suficiente. Tienen un flujo de información complejo y ninguno de los puntos finales puede verse comprometido. Para esos casos de uso, Metadefender Es la solución ideal.

Piense en Metadefender como un guardián paranoico que se encuentra entre sus activos de datos centrales y todo lo demás, incluida la red. Digo “paranoico” porque esa es la filosofía de diseño detrás de Metadefender. No puedo describir esto mejor que ellos, así que aquí va:

La mayoría de las soluciones de seguridad cibernética se basan en la detección como su función protectora principal. La desinfección de datos de MetaDefender no depende de la detección. Asume que todos los archivos podrían estar infectados y reconstruye su contenido mediante un proceso seguro y eficiente. Admite más de 30 tipos de archivos y genera archivos seguros y utilizables. La desinfección de datos es extremadamente eficaz para prevenir ataques dirigidos, ransomware y otros tipos de amenazas de malware conocidas y desconocidas.

Hay algunas características interesantes que ofrece Metadefender:

  • Prevención de pérdida de datos: en términos simples, esta es la capacidad de anular y proteger la información confidencial detectada dentro del contenido del archivo. Por ejemplo, Metadefender ofuscará un recibo en PDF con el número de tarjeta de crédito visible.
  • Implemente localmente o en la nube (¡dependiendo de lo paranoico que sea!).
  • Mire directamente a través de más de 30 tipos de formatos de archivo (zip, tar, rar, etc.) y 4,500 trucos de suplantación de tipos de archivos.
  • Implementaciones multicanal: proteja solo los archivos o vuélvase loco con el correo electrónico, la red y el control de inicio de sesión.
  • Personalizado workflows para aplicar diferentes tipos de canalizaciones de escaneo basadas en reglas personalizadas.

Metadefender incluye más de 30 motores, pero los abstrae muy bien, por lo que nunca tendrás que pensar en ellos. Si es una empresa de tamaño mediano a grande que simplemente no puede permitirse pesadillas de seguridad, Metadefender es una excelente opción.

Urlscan.io

Si se ocupa principalmente de páginas web y siempre ha querido tener una visión más profunda de lo que están haciendo entre bastidores, Urlscan.io es un arma excelente en tu arsenal.

La cantidad de información que arroja Urlscan.io es impresionante. Entre otras cosas, puedes ver:

  • Un número total de direcciones IP contactadas por la página.
  • Lista de geografías y dominios a los que la página envió información.
  • Tecnologías utilizadas en el front-end y back-end del sitio (no se hacen afirmaciones de precisión, ¡pero es alarmantemente precisa!).
  • Información de dominio y certificado SSL
  • Interacciones HTTP detalladas junto con la carga útil de la solicitud, los nombres de los servidores, los tiempos de respuesta y mucho más.
  • Redirecciones ocultas y solicitudes fallidas
  • Enlaces salientes
  • Análisis de JavaScript (variables globales utilizadas en los scripts, etc.)
  • Análisis de árboles DOM, contenido de formularios y más.

Así es como se ve todo:

La API es simple y directa, lo que le permite enviar una URL para escanear, así como verificar el historial de escaneo de esa URL (es decir, escaneos realizados por otros). Considerándolo todo, Urlscan.io proporciona una gran cantidad de información para cualquier empresa o individuo interesado.

SUCURI

SUCURI es una plataforma conocida en lo que respecta al escaneo en línea de sitios web en busca de amenazas y malware. Lo que quizás no sepa es que tienen un REST API también, permitiendo que el mismo poder se aproveche programáticamente.

No hay mucho de qué hablar aquí, excepto que la API es simple y funciona bien. Por supuesto, Sucuri no se limita a una API de escaneo, así que mientras lo hace, le recomiendo que revise algunas de sus poderosas características como escaneo del lado del servidor (Básicamente, usted proporciona las credenciales de FTP, ¡e inicia sesión y escanea todos los archivos en busca de amenazas!).

Quttera

Nuestra última entrada en esta lista es Quttera, que ofrece algo ligeramente diferente. En lugar de escanear el dominio y las páginas enviadas a pedido, Quttera también puede realizar un monitoreo continuo, lo que lo ayuda a evitar vulnerabilidades de día cero.

La API REST es simple y poderosa y puede devolver algunos formatos más que JSON (XML y YAML, por ejemplo). Los análisis son compatibles con la simultaneidad y el subproceso múltiple completo, lo que le permite ejecutar varios análisis exhaustivos en paralelo. Dado que el servicio se ejecuta en tiempo real, es invaluable para las empresas que están en ofertas de misión crítica donde el tiempo de inactividad significa la desaparición.

En resumen

Las herramientas de seguridad como las que se tratan en este artículo son simplemente una línea de defensa adicional (o precaución, por así decirlo). Como un programa antivirus, hay mucho que pueden hacer, pero no hay forma de que puedan proporcionar un método de escaneo a prueba de fallas. Eso es simplemente porque un programa escrito con intenciones maliciosas es el mismo para la computadora que el escrito para un impacto positivo: ambos solicitan recursos del sistema y realizan solicitudes de red; el diablo está en el contexto, que no es para que las computadoras funcionen con éxito.

Dicho esto, estas API proporcionan una sólida cobertura de seguridad que es deseable en la mayoría de los casos, ¡tanto para sitios web externos como para los suyos! 🙂