谷歌開源 Tsunami 漏洞掃描程序，用於大型企業網絡

技術編輯：芒果果丨發自 思否編輯部
SegmentFault 思否報道丨公衆號：SegmentFault

谷歌爲大型企業網絡開源了一種名爲 Tsunami 的可擴展的網絡掃描程序。該程序已於上個月在 GitHub 上開源，並在谷歌內部開始使用。

谷歌表示，Tsunami 由成千上萬甚至數百萬個與互聯網鏈接的系統組成，可用於檢測高嚴重性的漏洞，並儘量減小誤報。

據瞭解，Tsunami 不會成爲谷歌的正式品牌產品，而是由開源社區維護，相似於谷歌首次向大衆提供的 Kubernetes（另外一種谷歌內部工具）的方式。

Tsunami 如何運做

目前，市場上已經有數百種其餘商業或開放源代碼的漏洞掃描器，但 Tsunami 的不一樣之處在於，谷歌在創建掃描程序時將目光對準了像本身這樣的大型公司。這包括管理網絡的公司，這些網絡包括成千上萬的服務器、工做站、網絡設備和鏈接到互聯網的物聯網設備。

谷歌表示，其設計 Tsunami 的初衷是爲了適應這些極其多樣化和極其龐大的網絡，而不須要爲每種設備類型運行不一樣的掃描器。

Tsunami 由兩個主要部分組成，頂部添加了可擴展的插件機制。

它的第一個組件是掃描器自己，或者說是偵察模塊，該組建掃描公司網絡中的開放端口。而後，它會測試每一個端口，並嘗試識別每一個端口上運行的確切協議和服務，以防止錯誤標記端口和測試設備的錯誤漏洞。

谷歌表示，端口指紋識別模塊基於行業測試的 nmap 網絡映射引擎，但也使用了一些自定義代碼。

第二個部分比較複雜。這一個基於第一個的結果運行。它獲取每一個設備及其公開的端口，選擇要測試的漏洞列表，並運行良性開發以檢查設備是否容易受到攻擊。

漏洞驗證模塊也是 Tsunami 如何經過插件擴展的方法，經過這種方法，安全團隊能夠添加新的攻擊載體和漏洞來檢查他們的網絡內部。

當前的 Tsunami 版本帶有用於檢查如下內容的插件：

• 暴露的敏感 UI：Jenkins、Jupyter 和 Hadoop Yarn 之類的應用程序 附帶了 UI，這些 UI 容許用戶調度工做負載或執行系統命令。若是這些系統未經身份驗證就暴露在網絡上，則攻擊者能夠利用應用程序的功能來執行惡意命令。

• 弱證書: Tsunami 使用其餘開放源碼工具，如 ncrack 來檢測協議和工具（包括 SSH、 FTP、 RDP 和 MySQL）使用的弱密碼。

谷歌計劃在將來幾個月經過新的插件加強 Tsunami，以探測更普遍的漏洞。全部的插件都將經過第二個專門的 GitHub 存儲庫發佈。

Tsunami 將用於大型網絡，掃描重大漏洞

谷歌表示，掃描精度是 Tsunami 關注的主要因素，它的主要功能就是儘量減小錯誤的檢測結果。Tsunami  將來的重點將是知足像本身這樣的高端企業客戶的目標，以及在這些類型的大型和多設備網絡中掃描漏洞。

這一點很是重要，由於漏洞掃描程序運行在巨大的網絡中，在這些網絡中，即便是最輕微的錯誤結果也可能致使向成百上千的設備發送不正確的補丁，可能致使設備崩潰和網絡崩潰。不只會浪費無數的工做時間，甚至可能給公司形成更大的損失。

此外，Tsunami 也將擴展到僅支持掃描高度嚴重的漏洞威脅，而不是像大多數掃描程序側重於掃描全部程序，這樣作能夠減小安全團隊的警報疲勞，確保重大漏洞能被及時處理。