据外媒报道,谷歌为大型企业网络提供了开源的漏洞扫描仪“海啸(Tsunami)”。据悉,这款扫描仪已经在谷歌内部使用并且已于上月发布在GitHub上。“海啸”将不是谷歌的正式品牌产品,而是由开源社区来维护,类似于谷歌首次将Kubernetes(谷歌另一个内部工具)提供给大众的方式。
“海啸”是如何运转的
市场上已有数百种其他商业或开源的漏洞扫描仪,但“海啸”不同的是,这款扫描仪是谷歌为像自己这般规模的公司设计的。这包括管理网络的公司,而该类型公司的网络可能拥有数十万台服务器、工作站、网络设备以及连接到互联网的物联网设备。
谷歌表示,他们设计的“海啸”能在一开始就适应这些非常多样化、非常大的网络,而无需为每种设备类型运行不同的扫描仪。
据介绍公司介绍,它首先将“海啸”分解成两个主要部分,然后再在上面添加一个可扩展的插件机制。
第一个组件是扫描仪本身,也就是侦察模块。该组件会通过扫描公司的网络来寻找开放的端口。然后对每个端口进行测试并试图识别在每个端口上运行的确切协议和服务以防对端口进行错误标记,同时还会测试设备是否存在错误的漏洞。谷歌指出,端口指纹模块虽然是基于行业测试的nmap网络映射引擎,但也使用了一些定制代码。
第二个组建就比较复杂了,其基于第一个组建的结果运行。它将获取每个设备及其暴露的端口、选择要测试的漏洞列表然后运行良性漏洞检查设备是否极易受到攻击。漏洞验证模块也是通过插件扩展“海啸”的方法实现。
当前“海啸”版本提供的插件:
暴露的敏感UI:像Jenkins、Jupyter和Hadoop Yarn等应用会随UI允许用户调度工作负载或执行系统命令。如果这些系统在没有身份验证的情况下暴露在网络上,攻击者就可以利用应用的功能来执行恶意命令。
弱凭证:“海啸”利用其他开源工具如ncrack检测为包括SSH、FTP、RDP和MySQL在内的协议和工具所用的弱密码 。
谷歌表示,他们计划在未来几个月通过新的插件来增强“海啸”从而达到探测到更广泛漏洞的目的。所有插件都将通过第二个GitHub专用库发布。
项目将集中在假阳性结果
谷歌表示,“海啸”项目将专注于满足像自己这样的高端企业客户的目标以及这些大型多设备网络条件。
扫描的准确性将会是主要目标,项目的重点是提供尽可能少的假阳性(即不正确的检测)结果。
这一点很重要,因为扫描仪将运行在巨大的网络中,而在这些网络中,即使是最轻微的错误发现也会导致向成百上千的设备发送不正确的补丁进而可能导致设备、网络崩溃、无数工作时间被浪费甚至对公司的底线造成损失。
此外,“海啸”还将扩展到只支持可能被武器化的高严重性漏洞,而不是像现在大多数漏洞扫描仪所做的那样,专注于扫描所有的漏洞。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
