Trusler på nett – Hvordan beskytte deg?
Internett er dessverre fullt av sider med skadelig innhold, og disse kan også dukke opp på nettsidene til dine samarbeidspartnere eller leverandører. Dette er et økende problem i den digitale verden.
I dag er de fleste virksomheter avhengige av ulike integrasjoner som enten henter data fra eller sender data til eksterne nettsider. Slike tjenester er nødvendige for å drive virksomheten, men de utgjør også en potensiell risiko. Eksterne nettsider kan inneholde skadelig innhold, enten det er bevisst plassert der eller som følge av et sikkerhetsbrudd. Hvis dette innholdet spres til din side, kan det få alvorlige konsekvenser.
Et spørsmål som ofte stilles er om det er mulig å manuelt skanne nettsider for skadelig innhold. Svaret er at det i praksis er svært vanskelig av flere årsaker:
- Utviklere er ikke sikkerhetseksperter. De er flinke til å utvikle kompleks programvare ved å sette sammen mange delsystemer, men mangler spesifikk kompetanse innen sikkerhetsanalyse.
- Selv en dyktig utvikler ville slite med å gå gjennom en hel nettside. En typisk nettside består av tusenvis av kodelinjer, og det er en enorm oppgave å analysere hele denne koden for å finne eventuelle sårbarheter. Det ville være som å spise en hel elefant til lunsj!
- For å redusere lastetiden komprimeres og minimeres ofte CSS- og JavaScript-filer, noe som gjør koden ekstremt vanskelig å lese og analysere.
Hva tror du denne koden gjør? :kappa: (Kilde elgg.org)
Hvis koden ser lesbar ut, er det fordi de ansvarlige der har valgt å beholde variabelnavnene, slik at man beholder litt kontekst. Prøv å se på kildekoden for jQuery, som noen kan ha lastet opp på sin egen nettside og tuklet med (to linjer et sted nede i dette rotet):
Kildekoden er på nesten 5000 linjer. 😎
Dette er bare ett enkelt script. En typisk nettside har gjerne 5-15 skript, og du jobber sannsynligvis med 10-20 nettsider totalt. Tenk deg å måtte gå gjennom dette hver dag, kanskje til og med flere ganger om dagen!
Heldigvis finnes det enklere løsninger. Det er mulig å skanne URL-er raskt og effektivt ved hjelp av API-er. Du kan ikke bare skanne nettsider, men også filer som tilbys for nedlasting. Her er noen API-verktøy som kan hjelpe deg med dette. Utviklerne dine kan dra stor nytte av disse API-ene, så det kan være lurt å la dem bygge et verktøy for nettsideskanning ved hjelp av dem. 😀
Google Web Risk
Det er kanskje ikke overraskende at en tjeneste for å sjekke nettsider kommer fra selskapet som eier mesteparten av nettet. Men det er en hake: Google Web Risk er fortsatt i beta og er kun tilgjengelig etter søknad. Å være i beta betyr at det kan forekomme endringer som kan påvirke bruken.
Likevel, API-et er relativt enkelt, og eventuelle endringer kan lett håndteres av utviklerne dine ved hjelp av et API-overvåkingsverktøy. 🙂
Det er enkelt å bruke API-et. For å sjekke en enkelt side via kommandolinjen, send en forespørsel som denne:
curl -H "Content-Type: application/json" "https://webrisk.googleapis.com/v1beta1/uris:search?key=YOUR_API_KEY&threatTypes=MALWARE&uri=http%3A%2F%2Ftestsafebrowsing.appspot.com%2Fs%2Fmalware.html"
Hvis forespørselen er vellykket, vil API-et svare med typen sårbarhet på siden:
{
"threat": {
"threatTypes": [
"MALWARE"
],
"expireTime": "2019-07-17T15:01:23.045123456Z"
}
}
Som du ser, bekrefter API-et at siden er kjent for å inneholde skadelig programvare.
Merk at Google Web Risk API ikke utfører en sanntidsanalyse av en URL eller fil. Den konsulterer en svarteliste som Google vedlikeholder basert på funn og rapporter. API-et rapporterer om URL-en finnes på svartelisten eller ikke. Hvis API-et sier at en URL er trygg, er det sannsynligvis trygt å anta det, men det er ingen garantier.
VirusTotal
VirusTotal er en annen nyttig tjeneste for å skanne både URL-er og filer (noe som gir den en fordel over Google Web Risk). Du kan enkelt prøve tjenesten direkte på nettsiden deres.
VirusTotal er tilgjengelig som en gratis plattform som driftes av et stort fellesskap, men de tilbyr også en kommersiell versjon av API-et. Her er noen av fordelene med å betale for premiumtjenesten:
- Mer fleksibel forespørselsfrekvens og daglig kvote (i motsetning til kun fire forespørsler per minutt for det offentlige API-et).
- Ressursen som sendes inn, skannes av VirusTotals antivirusprogram, og det returneres tilleggsinformasjon.
- Atferdsbasert informasjon om filene som sendes inn (filene analyseres i sandkasse-miljøer for å overvåke mistenkelig aktivitet).
- Mulighet til å søke i VirusTotals fildatabase med komplekse spørringer.
- Strenge SLA og responstider (filer som sendes inn via det offentlige API-et, analyseres i kø og kan ta lang tid).
Det private API-et til VirusTotal kan være en av de beste investeringene du gjør for din virksomhet.
Scanii
En annen anbefaling for API-er for sikkerhetsskanning er Scanii. Det er et enkelt REST API som kan skanne innsendte dokumenter og filer for potensielle trusler. Tenk på det som en virusskanner som kan kjøres og skaleres ved behov.
Her er noen av fordelene med Scanii:
- Kan oppdage skadelig programvare, phishing-skript, spam, NSFW-innhold osv.
- Bygget på Amazon S3 for enkel skalering og sikker fillagring.
- Oppdager støtende eller potensielt farlig tekst på over 23 språk.
- Enkel og fokusert tilnærming til API-basert filskanning.
Det som er virkelig bra med Scanii, er at det er en metamotor. Det vil si at det ikke utfører skanninger selv, men bruker et sett med underliggende motorer for å gjøre jobben. Dette er en stor fordel, da du ikke er knyttet til en bestemt sikkerhetsmotor og slipper å bekymre deg for endringer i API-er.
Scanii er spesielt nyttig for plattformer som er avhengige av brukergenerert innhold. Det kan også brukes til å skanne filer fra leverandører du ikke er 100 % sikker på.
Metadefender
For noen organisasjoner er det ikke tilstrekkelig å bare skanne filer og nettsider på ett endepunkt. De har et komplekst informasjonsflyt, og ingen av endepunktene kan kompromitteres. For slike situasjoner er Metadefender en ideell løsning.
Se for deg Metadefender som en paranoid dørvakt mellom dine viktigste ressurser og alt annet, inkludert nettverket. Den er designet for å være paranoid: Metadefender er ikke avhengig av deteksjon, men forutsetter at alle filer kan være infisert og gjenoppbygger innholdet i en sikker prosess. Den støtter over 30 filtyper og gir trygge og brukbare filer. Datasanering er ekstremt effektivt for å forhindre målrettede angrep, løsepengeprogramvare og andre typer kjente og ukjente trusler.
Metadefender tilbyr også disse funksjonene:
- Forebygging av datatap: Muligheten til å overstyre og beskytte sensitiv informasjon som finnes i filinnholdet. For eksempel vil en PDF-kvittering med et synlig kredittkortnummer bli sløret av Metadefender.
- Kan distribueres lokalt eller i skyen.
- Kan se gjennom 30+ typer arkiveringsformater (zip, tar, rar osv.) og 4500 filtypeforfalskningstriks.
- Flerkanals distribusjon – sikre filer, e-post, nettverk og påloggingskontroll.
- Egendefinerte arbeidsflyter for ulike typer skanningsprosesser basert på egendefinerte regler.
Metadefender inkluderer over 30 skannemotorer, men abstraherer dem slik at du slipper å tenke på dem. Hvis du er en mellomstor til stor bedrift som ikke har råd til sikkerhetsmareritt, er Metadefender et godt valg.
Urlscan.io
Hvis du jobber mye med nettsider og vil se hva som skjer bak kulissene, er Urlscan.io et utmerket verktøy.
Urlscan.io gir tilgang til en imponerende mengde informasjon, som blant annet:
- Totalt antall IP-adresser som siden har kontaktet.
- Liste over geografiske lokasjoner og domener siden har sendt informasjon til.
- Teknologier som brukes på front-end og backend av nettstedet (ingen garantier for nøyaktighet, men den er ofte svært nøyaktig!).
- Domene- og SSL-sertifikatinformasjon.
- Detaljert HTTP-interaksjon med forespørsler, servernavn, responstider osv.
- Skjulte omdirigeringer og mislykkede forespørsler.
- Utgående lenker.
- JavaScript-analyse (globale variabler som brukes i skriptene osv.)
- DOM-treanalyse, skjemainnhold og mer.
Slik kan det se ut:
API-et er enkelt å bruke. Du kan sende inn en URL for skanning og sjekke skannehistorikken for den aktuelle URL-en (skanninger utført av andre). Urlscan.io gir mye nyttig informasjon til både bedrifter og enkeltpersoner.
SUCURI
SUCURI er en kjent plattform for skanning av nettsider for trusler og skadelig programvare. Det du kanskje ikke vet er at de også har et REST API, slik at du kan utnytte kraften i tjenesten programmatisk.
API-et er enkelt å bruke og fungerer godt. I tillegg til skanning via API, anbefales det å sjekke ut serverskanning, der du oppgir FTP-legitimasjonen, og tjenesten logger på og skanner alle filene for trusler.
Quttera
Siste tjeneste på listen er Quttera, som tilbyr noe litt annerledes. I stedet for å skanne domenet og innsendte sider på forespørsel, tilbyr Quttera også kontinuerlig overvåking, noe som kan hjelpe deg med å unngå sårbarheter som utnyttes samme dag de oppdages (zero-day vulnerabilities).
REST API-et er enkelt og kraftig og kan returnere resultater i flere formater enn bare JSON (f.eks. XML og YAML). Full multithreading og samtidighet støttes under skanningene, slik at du kan kjøre flere analyser parallelt. Siden tjenesten kjører i sanntid, er den nyttig for selskaper som er avhengige av systemer der nedetid kan føre til store problemer.
Konklusjon
Sikkerhetsverktøyene som er nevnt i denne artikkelen er en viktig del av et godt sikkerhetsopplegg. Akkurat som et antivirusprogram kan de hjelpe deg med å beskytte deg, men de kan ikke garantere 100 % sikkerhet. Det er fordi skadelig programvare i utgangspunktet gjør det samme som annen programvare – ber om systemressurser og sender nettverksforespørsler. Forskjellen ligger i hensikten, og det er noe som er vanskelig for datamaskiner å tolke.
Disse API-ene gir likevel et robust sikkerhetsdeksel som er nyttig i de fleste tilfeller, både for eksterne nettsider og dine egne! 🙂