最近，谷歌專門為大型企業(yè)網(wǎng)絡(luò)開源了一個漏洞掃描神器，主要用于數(shù)千個甚至數(shù)百萬個物聯(lián)網(wǎng)組成的企業(yè)系統(tǒng)。為了讓大家放心使用，谷歌已經(jīng)將“海嘯”用于內(nèi)部使用一個月之久了。

[[333830]]

不過，“海嘯”并非是谷歌官方的產(chǎn)品，而是由開源社區(qū)來維護(hù)，有點類似于Kubernetes。

“海嘯”是如何運(yùn)行的？

市場上已經(jīng)有數(shù)百種類似的商業(yè)或開源的漏洞掃描器，但“海嘯”和這些漏洞掃描器不同的是，它是專門為類似谷歌這樣規(guī)模的企業(yè)構(gòu)建的，諸如網(wǎng)絡(luò)管理的企業(yè)，這些網(wǎng)絡(luò)包括數(shù)十萬臺的服務(wù)器、工作站，網(wǎng)絡(luò)設(shè)備和連接到互聯(lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備。

谷歌表示，他們設(shè)計的“海嘯”能夠直接適應(yīng)這些大型網(wǎng)絡(luò)，而不需要為每種設(shè)備類型運(yùn)行不同的掃描儀。

海嘯由兩個部分組成，然后在這個基礎(chǔ)上添加一個可擴(kuò)展的插件機(jī)制，第一個組件是掃描儀本身，也就是偵查模塊，該組件可以掃描企業(yè)網(wǎng)絡(luò)的開放端口，然后測試每個端口，并試圖識別在每個端口上運(yùn)行的服務(wù)和協(xié)議，以防對端口進(jìn)行錯誤標(biāo)記，并標(biāo)記測試設(shè)備是否存在錯誤的漏洞

谷歌表示，端口指紋模塊基于行業(yè)測試的nmap網(wǎng)絡(luò)映射引擎，“海嘯”的第二個部分比較復(fù)雜，這一部分是基于第一部分的運(yùn)行結(jié)果，它獲取每個設(shè)備及其暴露的端口，選擇要測試的漏洞列表，并運(yùn)行檢查設(shè)備是否容易受到攻擊。

漏洞驗證模塊是通過“海嘯”的插件拓展方式，安全團(tuán)隊可以通過添加插件的方式，添加新的攻擊載體和漏洞來檢測內(nèi)部網(wǎng)絡(luò)。

當(dāng)前的海嘯版本已經(jīng)包含了多個插件幫助你檢測：

• Exposed sensitive UIs：Jenkins, Jupyter和Hadoop Yarn都帶有UI，允許用戶工作負(fù)載調(diào)度或執(zhí)行系統(tǒng)命令，如果這些系統(tǒng)在沒有身份驗證的情況下暴露在internet上，攻擊者可以利用應(yīng)用程序的功能來執(zhí)行惡意命令。
• 弱憑證：“海嘯”使用其他開源工具（如ncrack）檢測協(xié)議和工具包（包括SSH、FTP、RDP和MySQL）使用的弱密碼。

谷歌表示，未來幾個月他們將通過新增插件來增強(qiáng)“海嘯”的功能特性，從而檢測到更多的漏洞，所有的插件都將通過Github發(fā)布。

“海嘯”目標(biāo)？

谷歌表示，“海嘯”旨在滿足類似于谷歌這樣的高端企業(yè)的客戶需求，漏洞掃描的準(zhǔn)確性是重中之重，項目的重點是避免出現(xiàn)錯誤的檢測結(jié)果。

這一點是至關(guān)重要的，因為掃描器將運(yùn)行在巨大的網(wǎng)絡(luò)中，在這些網(wǎng)絡(luò)中，即使是最輕微的錯誤發(fā)現(xiàn)也會導(dǎo)致向成百上千的設(shè)備發(fā)送不正確的補(bǔ)丁，最終導(dǎo)致設(shè)備/網(wǎng)絡(luò)崩潰，造成不必要的損失。

此外，為了減少安全團(tuán)隊的警戒疲勞，海嘯還將擴(kuò)展到只支持掃描那些可能被武器化的高危漏洞，而不是像目前的大多數(shù)漏洞掃描器所做的那樣，專注于掃描所有的漏洞。

“海嘯”發(fā)布不久，已經(jīng)穩(wěn)穩(wěn)霸住Github周榜第一的位置，收獲標(biāo)星4435個，累計分支362個（Github地址：https://github.com/google/tsunami-security-scanner），感興趣的小伙伴們不要錯過了哦。