最近，谷歌專門為大型企業(yè)網(wǎng)絡(luò)開源了一個(gè)漏洞掃描神器，主要用于數(shù)千個(gè)甚至數(shù)百萬(wàn)個(gè)物聯(lián)網(wǎng)組成的企業(yè)系統(tǒng)。為了讓大家放心使用，谷歌已經(jīng)將“海嘯”用于內(nèi)部使用一個(gè)月之久了。

[[333830]]

不過(guò)，“海嘯”并非是谷歌官方的產(chǎn)品，而是由開源社區(qū)來(lái)維護(hù)，有點(diǎn)類似于Kubernetes。

“海嘯”是如何運(yùn)行的？

市場(chǎng)上已經(jīng)有數(shù)百種類似的商業(yè)或開源的漏洞掃描器，但“海嘯”和這些漏洞掃描器不同的是，它是專門為類似谷歌這樣規(guī)模的企業(yè)構(gòu)建的，諸如網(wǎng)絡(luò)管理的企業(yè)，這些網(wǎng)絡(luò)包括數(shù)十萬(wàn)臺(tái)的服務(wù)器、工作站，網(wǎng)絡(luò)設(shè)備和連接到互聯(lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備。

谷歌表示，他們?cè)O(shè)計(jì)的“海嘯”能夠直接適應(yīng)這些大型網(wǎng)絡(luò)，而不需要為每種設(shè)備類型運(yùn)行不同的掃描儀。

海嘯由兩個(gè)部分組成，然后在這個(gè)基礎(chǔ)上添加一個(gè)可擴(kuò)展的插件機(jī)制，第一個(gè)組件是掃描儀本身，也就是偵查模塊，該組件可以掃描企業(yè)網(wǎng)絡(luò)的開放端口，然后測(cè)試每個(gè)端口，并試圖識(shí)別在每個(gè)端口上運(yùn)行的服務(wù)和協(xié)議，以防對(duì)端口進(jìn)行錯(cuò)誤標(biāo)記，并標(biāo)記測(cè)試設(shè)備是否存在錯(cuò)誤的漏洞

谷歌表示，端口指紋模塊基于行業(yè)測(cè)試的nmap網(wǎng)絡(luò)映射引擎，“海嘯”的第二個(gè)部分比較復(fù)雜，這一部分是基于第一部分的運(yùn)行結(jié)果，它獲取每個(gè)設(shè)備及其暴露的端口，選擇要測(cè)試的漏洞列表，并運(yùn)行檢查設(shè)備是否容易受到攻擊。

漏洞驗(yàn)證模塊是通過(guò)“海嘯”的插件拓展方式，安全團(tuán)隊(duì)可以通過(guò)添加插件的方式，添加新的攻擊載體和漏洞來(lái)檢測(cè)內(nèi)部網(wǎng)絡(luò)。

當(dāng)前的海嘯版本已經(jīng)包含了多個(gè)插件幫助你檢測(cè)：

• Exposed sensitive UIs：Jenkins, Jupyter和Hadoop Yarn都帶有UI，允許用戶工作負(fù)載調(diào)度或執(zhí)行系統(tǒng)命令，如果這些系統(tǒng)在沒有身份驗(yàn)證的情況下暴露在internet上，攻擊者可以利用應(yīng)用程序的功能來(lái)執(zhí)行惡意命令。
• 弱憑證：“海嘯”使用其他開源工具（如ncrack）檢測(cè)協(xié)議和工具包（包括SSH、FTP、RDP和MySQL）使用的弱密碼。

谷歌表示，未來(lái)幾個(gè)月他們將通過(guò)新增插件來(lái)增強(qiáng)“海嘯”的功能特性，從而檢測(cè)到更多的漏洞，所有的插件都將通過(guò)Github發(fā)布。

“海嘯”目標(biāo)？

谷歌表示，“海嘯”旨在滿足類似于谷歌這樣的高端企業(yè)的客戶需求，漏洞掃描的準(zhǔn)確性是重中之重，項(xiàng)目的重點(diǎn)是避免出現(xiàn)錯(cuò)誤的檢測(cè)結(jié)果。

這一點(diǎn)是至關(guān)重要的，因?yàn)閽呙杵鲗⑦\(yùn)行在巨大的網(wǎng)絡(luò)中，在這些網(wǎng)絡(luò)中，即使是最輕微的錯(cuò)誤發(fā)現(xiàn)也會(huì)導(dǎo)致向成百上千的設(shè)備發(fā)送不正確的補(bǔ)丁，最終導(dǎo)致設(shè)備/網(wǎng)絡(luò)崩潰，造成不必要的損失。

此外，為了減少安全團(tuán)隊(duì)的警戒疲勞，海嘯還將擴(kuò)展到只支持掃描那些可能被武器化的高危漏洞，而不是像目前的大多數(shù)漏洞掃描器所做的那樣，專注于掃描所有的漏洞。

“海嘯”發(fā)布不久，已經(jīng)穩(wěn)穩(wěn)霸住Github周榜第一的位置，收獲標(biāo)星4435個(gè)，累計(jì)分支362個(gè)（Github地址：https://github.com/google/tsunami-security-scanner），感興趣的小伙伴們不要錯(cuò)過(guò)了哦。