Le Web regorge de pages malveillantes. Malheureusement, ceux-ci peuvent également exister sur vos sites client / fournisseur.
Aucune entreprise aujourd'hui n'est sans une certaine intégration qui se nourrit ou fournit des entrées au site Web d'un client ou d'un fournisseur. Bien sûr, votre entreprise n'existera pas sans ces services, mais c'est parfois une menace en raison de ces services. Les sites externes avec lesquels vous interagissez peuvent contenir du contenu malveillant (qu'il soit installé exprès ou compromis par un tiers), et si ce contenu trouve son chemin vers l'endroit prédéterminé, les conséquences peuvent être désastreuses.
Ne pouvons-nous pas analyser manuellement les sites Web à la recherche de pages malveillantes?
Il peut sembler qu'un développeur compétent devrait être en mesure de analyser les pages à la recherche de vulnérabilités. Malheureusement, ce n'est même pas proche de la réalité pour de nombreuses raisons:
- Les développeurs ne sont pas spécialisés dans la détection / sécurité. Leur expertise consiste à créer des logiciels complexes en assemblant de nombreux sous-systèmes plus petits; en d'autres termes, ils n'ont tout simplement pas les compétences nécessaires.
- Même si vous rencontriez un développeur suffisamment talentueux, la tâche serait tout simplement trop lourde. Une page Web typique et riche en fonctionnalités contient des milliers de lignes de code - les assembler pour avoir une vue d'ensemble ainsi que les minuscules échappatoires n'est rien de moins qu'un cauchemar. Vous pourriez aussi bien ordonner à quelqu'un de manger un éléphant entier pour le déjeuner!
- Pour réduire les temps de chargement des pages, les sites Web compressent et réduisent souvent leurs fichiers CSS et JavaScript. Il en résulte un tel désordre de code qu'il est parfaitement impossible à lire.

Si cela semble toujours lisible, c'est parce que les bonnes âmes ont décidé de conserver les noms de variables dans un large contexte. Essayez le code source de jQuery, que quelqu'un peut héberger sur son site Web et falsifier (deux lignes quelque part dans ce désordre):
Sans oublier que la source est proche de 5,000 XNUMX lignes de code. 😎
Nous ne parlons que d'un seul script. Une page Web a généralement 5 à 15 scripts attachés, et il est probable que vous travaillez avec 10 à 20 pages Web au total. Imaginez devoir faire cela tous les jours. . . Ou pire, quelques fois par jour!
Heureusement, il est possible d'analyser les URL rapidement et facilement via les API. Vous pouvez analyser non seulement les pages Web, mais également les fichiers qui vous sont fournis pour téléchargement. Examinons certains des outils API qui vous aident à le faire. Et oh, puisque ce sont des API, les efforts de votre développeur seront bien mieux servis si vous leur demandez de créer un outil d'analyse de site Web à l'aide de ces API. 😀
Google Web Risk
Il n'est pas surprenant qu'un vérificateur de page Web provienne de l'entreprise qui possède pratiquement Internet (toutes ses pages Web, je veux dire). Mais il y a un hic: Risque Web Google est toujours en version bêta et est disponible sur nécessaire seulement. Être en version bêta signifie plus de changements majeurs.
Néanmoins, étant donné que l'API est assez simple, tout changement peut être résolu par votre développeur à l'aide d'un Outil de surveillance API et quelques minutes de temps de développement. 🙂
L'utilisation de l'API est également très simple. Pour vérifier une seule page à l'aide de la ligne de commande, envoyez simplement une requête comme suit:
curl -H "Content-Type: application/json" "https://webrisk.googleapis.com/v1beta1/uris:search?key=YOUR_API_KEY&threatTypes=MALWARE&uri=http%3A%2F%2Ftestsafebrowsing.appspot.com%2Fs%2Fmalware.html"
Si la demande aboutit, l'API répond avec le type de vulnérabilité sur la page:
{
"threat": {
"threatTypes": [
"MALWARE"
],
"expireTime": "2019-07-17T15:01:23.045123456Z"
}
}
Comme vous pouvez le voir, l'API confirme que la page contient des logiciels malveillants.
Notez que l'API Google Web Risk n'effectue pas de diagnostic à la demande sur une URL ou un fichier de votre choix. Il consulte une liste noire maintenue par Google en fonction des résultats de la recherche et des rapports et indique si l'URL est dans cette liste noire ou non. En d'autres termes, si cette API indique qu'une URL est sûre, il est prudent de supposer qu'elle est assez sûre, mais il n'y a aucune garantie.
VirusTotal
VirusTotal est un autre service intéressant que vous pouvez utiliser pour analyser non seulement les URL, mais également des fichiers individuels (en ce sens, je le place au-dessus de Google Web Risk en termes d'utilité). Si vous avez envie d'essayer le service, rendez-vous simplement sur le site Web et directement sur la page d'accueil, il y a une option pour commencer.
Bien que VirusTotal soit disponible en tant que plate-forme gratuite construite et organisée par une communauté dynamique, il propose une version commerciale de son API. Voici pourquoi vous voudriez payer pour le service premium:
- Taux de demande flexible et quota quotidien (par opposition aux seulement quatre demandes par minute pour l'API publique)
- La ressource soumise est analysée par VirusTotal par son antivirus et des informations de diagnostic supplémentaires sont renvoyées.
- Informations comportementales sur les fichiers que vous soumettez (les fichiers seront placés dans différents environnements en bac à sable surveiller les activités suspectes)
- Interroger la base de données des fichiers VirusTotal pour divers paramètres (les requêtes complexes sont prises en charge)
- SLA et temps de réponse stricts (les fichiers soumis à VirusTotal via l'API publique sont mis en file d'attente et prennent un temps considérable pour l'analyse)
Si vous optez pour l'API privée VirusTotal, cela peut être l'un des meilleurs investissements que vous ayez jamais réalisés dans un produit SaaS pour votre entreprise.
Scanii
Une autre recommandation pour les API de scanneur de sécurité est Scanii. Il s'agit d'une simple API REST qui peut analyser les documents/fichiers soumis pour détecter la présence de menaces. Considérez-le comme un service à la demande scanner de virus qui peut être exécuté et mis à l'échelle sans effort !
Voici les goodies que propose Scanii:
- Capable de détecter les logiciels malveillants, les scripts de phishing, le contenu de spam, le contenu NSFW (Not Safe For Work), etc.
- Il est construit sur Amazon S3 pour une mise à l'échelle facile et un stockage de fichiers sans risque.
- Détectez les textes offensants, dangereux ou potentiellement dangereux dans plus de 23 langues.
- Une approche simple, sans fioritures et ciblée de l'analyse de fichiers basée sur l'API (en d'autres termes, pas de fonctionnalités inutilement «utiles»)
La vraie bonne chose est que Scanii est un méta-moteur; c'est-à-dire qu'il n'effectue pas d'analyse seul, mais utilise un ensemble de moteurs sous-jacents pour le travail de fond. C'est un excellent atout car vous n'avez pas besoin d'être lié à un moteur de sécurité particulier, ce qui signifie que vous n'avez pas à vous soucier des modifications d'API cassées, etc.
Je vois Scanii comme une aubaine énorme pour les plates-formes qui dépendent du contenu généré par l'utilisateur. Un autre cas d'utilisation est celui de l'analyse des fichiers générés par un service fournisseur auquel vous ne pouvez pas faire confiance à 100%.
Metadefender
Pour certaines organisations, l'analyse des fichiers et des pages Web sur un seul point de terminaison ne suffit pas. Ils ont un flux d'informations complexe et aucun des points finaux ne peut être compromis. Pour ces cas d'utilisation, Metadefender est la solution idéale.
Considérez Metadefender comme un portier paranoïaque qui se situe entre vos actifs de données de base et tout le reste, y compris le réseau. Je dis «paranoïaque» parce que c'est la philosophie de conception derrière Metadefender. Je ne peux pas décrire cela mieux qu'eux, alors voici:
La plupart des solutions de cybersécurité reposent sur la détection comme fonction de protection principale. La désinfection des données MetaDefender ne repose pas sur la détection. Il suppose que tous les fichiers peuvent être infectés et reconstruit leur contenu à l'aide d'un processus sécurisé et efficace. Il prend en charge plus de 30 types de fichiers et génère des fichiers sûrs et utilisables. La désinfection des données est extrêmement efficace pour prévenir les attaques ciblées, les ransomwares et d'autres types de menaces de logiciels malveillants connus et inconnus.
Metadefender propose quelques fonctionnalités intéressantes:
- Prévention de la perte de données: en termes simples, il s'agit de la possibilité de remplacer et de protéger les informations sensibles détectées dans le contenu des fichiers. Par exemple, un reçu PDF avec le numéro de carte de crédit visible sera masqué par Metadefender.
- Déployez localement ou dans le cloud (selon votre paranoïa!).
- Regardez à travers plus de 30 types de formats d'archivage (zip, tar, rar, etc.) et 4,500 astuces d'usurpation de type de fichier.
- Déploiements multicanaux - sécurisez uniquement les fichiers, ou passez au contrôle des e-mails, du réseau et des connexions
- Applications workflows pour appliquer différents types de pipelines d'analyse en fonction de règles personnalisées.
Metadefender comprend plus de 30 moteurs mais les résume bien, vous n'aurez donc jamais à y penser. Si vous êtes une entreprise de taille moyenne à grande qui ne peut tout simplement pas se permettre des cauchemars de sécurité, Metadefender est une excellente option.
Urlscan.io
Si vous traitez principalement avec des pages Web et que vous avez toujours voulu un examen plus approfondi de ce qu'ils font dans les coulisses, Urlscan.io est une excellente arme dans votre arsenal.
La quantité d'informations déversées par Urlscan.io est tout simplement impressionnante. Entre autres choses, vous pouvez voir:
- Un nombre total d'adresses IP contactées par la page.
- Liste des zones géographiques et des domaines auxquels la page a envoyé des informations.
- Technologies utilisées sur le front-end et le backend du site (aucune déclaration de précision n'est faite, mais c'est d'une précision alarmante!).
- Informations de domaine et de certificat SSL
- Interactions HTTP détaillées avec charge utile des requêtes, noms de serveurs, temps de réponse et bien plus encore.
- Redirections masquées et demandes échouées
- Liens sortants
- Analyse JavaScript (variables globales utilisées dans les scripts, etc.)
- Analyse de l'arborescence DOM, contenu des formulaires, etc.
Voici à quoi tout cela ressemble:
L'API est simple et directe, vous permettant de soumettre une URL pour l'analyse, ainsi que de vérifier l'historique d'analyse de cette URL (analyses effectuées par d'autres, c'est-à-dire). En tout, Urlscan.io fournit une mine d'informations pour toute entreprise ou individu concerné.
SUCURI
SUCURI est une plate-forme bien connue en matière d'analyse en ligne de sites Web à la recherche de menaces et de logiciels malveillants. Ce que vous ne savez peut-être pas, c'est qu'ils ont un API REST ainsi, permettant à la même puissance d'être exploitée par programme.
Il n'y a pas grand chose à dire ici, si ce n'est que l'API est simple et fonctionne bien. Bien sûr, Sucuri n'est pas limité à une API d'analyse, alors pendant que vous y êtes, je vous recommande de vérifier certaines de ses fonctionnalités puissantes comme analyse côté serveur (En gros, vous fournissez les informations d'identification FTP, et il se connecte et analyse tous les fichiers pour les menaces!).
Quttera
Notre dernière entrée dans cette liste est Quttera, qui offre quelque chose de légèrement différent. Plutôt que d'analyser le domaine et les pages soumises à la demande, Quttera peut également effectuer une surveillance continue, vous aidant à éviter les vulnérabilités zero-day.
L'API REST est simple et puissante et peut renvoyer quelques formats de plus que JSON (XML et YAML, par exemple). Le multithreading complet et la concurrence sont pris en charge dans les analyses, ce qui vous permet d'exécuter plusieurs analyses exhaustives en parallèle. Étant donné que le service fonctionne en temps réel, il est inestimable pour les entreprises qui s'intéressent aux offres critiques où les temps d'arrêt signifient la disparition.
Conclusion
Les outils de sécurité comme ceux abordés dans cet article sont simplement une ligne de défense supplémentaire (ou une mise en garde, si vous voulez). Tout comme un programme antivirus, ils peuvent faire beaucoup, mais ils ne peuvent en aucun cas fournir une méthode d'analyse à toute épreuve. C'est simplement parce qu'un programme écrit avec une intention malveillante est le même pour l'ordinateur que celui écrit pour un impact positif - ils demandent tous deux des ressources système et font des requêtes réseau; le diable réside dans le contexte, qui n'est pas pour que les ordinateurs fonctionnent avec succès.
Cela dit, ces API fournissent une couverture de sécurité robuste qui est souhaitable dans la plupart des cas - à la fois pour les sites Web externes et les vôtres! 🙂