守望者实验室基于威胁基础数据和安全分析能力,推出三大分析引擎,包括“URL沙箱、邮件沙箱、DNS沙箱(行为分析)”。
平台应用架构如下图,中间的三大安全能力矩阵,是守望者的核心分析引擎,平台通过开放式API,便于和第三方相互集成,共建生态。核心思路是“叠加”“赋能”给现有的设备和系统,有效降低安全成本,提高安全运营效率。
接上一篇《A sandbox for the web:一款在线的“恶意URL分析系统”》,再谈下守望者实验室推出的在线恶意URL分析系统。
多维评价、量化展示
系统通过违规信息筛查、异常链接筛查、安全配置分析、威胁情报碰撞、安全事件及隐患分析、黑灰产类页面识别、可用性监测等7个维度,对URL进行总体评价。
通过量化的分值(比如下图的URL安全评分83分),支撑后续处置决策。同时展示基本信息、重要的违规及告警等。
关键数据统计
针对每一个URL,统计的信息如下。
第一行:Url页面具体加载的Http资源的域名、子域名、IPv4地址、IPv6地址、地理区域数量、Cookies数量。地理区域是个很重要的指标,比如上图,一个Url,可以看到加载的境外、境内共5个IP,目前系统地理区域统计的数据2,是按境外、境内统计的。经过分析,这个Url有跳转链接,跳转到境外的一个恶意地址上。
第二行:指标包括请求的Http资源数量、页面大小、流量大小、Https占比、IPv4占比、IPv6占比。Https占比:是个很有意思的指标,我们经常碰到Url本身是基于Https方式,但是页面加载的某些具体链接可能Http方式,这个指标是统计了所有的Http加载资源中Https的占比,大量的链接这里没有实现100%。IPv4占比、IPv6占比:是对所有加载的Https资源对应的IP地址进行了统计。这两个占比加起来是100%,也是很有意思的两个指标。
第三行:Url页面的超链接、外链、暗链、错链(包括4XX、5XX)、重链。植入暗链的话一般都是网站被人攻击植入黑灰产的链接。外链也是需要关注的一个部分。重链可能会被指向恶意的Url。暗链、错链对网站的形象及访问效率都有很大影响。
第四行:获取页面加载各个阶段所需时间,这里通过获取并计算出各个阶段的所需时间,供页面优化参考使用。下面直接借用互联网的一副图,可以清晰的看到各个阶段的含义。
安全配置检查
基于HTTPS的web是未来主流,通过证书异常分析、协议配置分析,检测部署的SSL/TLS的服务是否符合行业最佳实践。
证书异常分析包括:ssl证书过期、ssl自签证书、SSL证书吊销、证书采用低版本、证书有效期过长等。
Https安全配置:包括 SSL / TLS支持比例、加密套件强度、协议支持、HTTP严格传输安全、签名算法。
“一键关联”情报平台
“一键关联”情报平台查询(ti.watcherlab.com),确保分析人员的良好体验。
直接关联TI平台:https://ti.watcherlab.com/
URL提交方式
-
手工提交:可以直接页面手工提交。
-
API:提供API检测能力接口,通过接口提交域名、IP、URL,接口返回检测结果。
在线系统地址:https://urlscan.watcherlab.com/
欢迎您注册使用!