Escáner de vulnerabilidad de tsunami de código abierto de Google


tsunami.jpg

Google ha abierto un escáner de vulnerabilidades para redes empresariales a gran escala que consta de miles o incluso millones de sistemas conectados a World-wide-web.

Nombrado Tsunami, el escáner se ha utilizado internamente en Google y se ha utilizado disponible en GitHub el mes pasado.

El tsunami no será un producto de marca oficial de Google, sino que será mantenido por la comunidad de código abierto, de forma very similar a cómo Google puso a disposición de las masas Kubernetes (otra herramienta interna de Google).

Cómo funciona el tsunami

Ya hay cientos de otros escáneres de vulnerabilidad comerciales o de código abierto en el mercado, pero lo diferente de Tsunami es que Google construyó el escáner teniendo en cuenta a compañías gigantescas como él.

Esto incluye compañías que administran redes que incluyen cientos de miles de servidores, estaciones de trabajo, equipos de pink y dispositivos IoT que están conectados a Online.

Google dijo que diseñó Tsunami para adaptarse a estas redes extremadamente diversas y extremadamente grandes desde el principio, sin la necesidad de ejecutar diferentes escáneres para cada tipo de dispositivo.

Google dijo que hizo esto al dividir Tsunami en dos partes principales y luego agregar un mecanismo de complemento extensible en la parte superior.

El primer componente de Tsunami es el escáner mismo, o el módulo de reconocimiento. Este componente escanea la purple de una empresa en busca de puertos abiertos. Luego prueba cada puerto e intenta identificar los protocolos y servicios exactos que se ejecutan en cada uno, en un intento de evitar el etiquetado incorrecto de puertos y probar dispositivos para detectar vulnerabilidades incorrectas.

Google dijo que el módulo de huellas digitales de puerto se basa en el probado en la industria nmap motor de mapeo de crimson pero también united states of america algún código personalizado.

El segundo componente es el que es más complejo. Éste se ejecuta según los resultados del primero. Toma cada dispositivo y sus puertos expuestos, selecciona una lista de vulnerabilidades para probar y ejecuta exploits benignos para verificar si el dispositivo es vulnerable a los ataques.

El módulo de verificación de vulnerabilidad también es cómo Tsunami se puede extender a través de complementos, el medio a través del cual los equipos de seguridad pueden agregar nuevos vectores de ataque y vulnerabilidades para verificar dentro de sus redes.

La versión real de Tsunami viene con complementos para verificar:

  • UI sensibles expuestas: Aplicaciones como Jenkins, Jupytery Hilado Hadoop se envía con UI que permiten a un usuario programar cargas de trabajo o ejecutar comandos del sistema. Si estos sistemas están expuestos a World wide web sin autenticación, los atacantes pueden aprovechar la funcionalidad de la aplicación para ejecutar comandos maliciosos.
  • Credenciales débiles: Tsunami utiliza otras herramientas de código abierto como ncrack para detectar contraseñas débiles utilizadas por protocolos y herramientas que incluyen SSH, FTP, RDP y MySQL.

Google dijo que planea mejorar el tsunami a través de nuevos complementos para detectar una mayor variedad de exploits en los próximos meses. Todos los complementos serán lanzados a través de un segundo repositorio dedicado de GitHub.

El proyecto se centrará en no falsos positivos

El gigante de las búsquedas dijo que, en el futuro, Tsunami se centrará en cumplir los objetivos de clientes empresariales de alta gama como él mismo, y las condiciones que se encuentran en este tipo de redes grandes y de dispositivos múltiples.

La precisión del escaneo será el objetivo principal, con el proyecto enfocado en proporcionar resultados con la menor cantidad posible de falsos positivos (detecciones incorrectas).

Esto será importante ya que el escáner se ejecutará dentro de redes gigantes donde incluso los más mínimos hallazgos falsos positivos pueden dar como resultado el envío de parches incorrectos a cientos o miles de dispositivos, lo que puede provocar fallas en los dispositivos, fallas en la red. innumerables horas de trabajo desperdiciadas, e incluso pérdidas en el resultado ultimate de una empresa.

Además, Tsunami también se extenderá con soporte solo para vulnerabilidades de alta gravedad que puedan ser armadas, en lugar de enfocarse en la exploración de todo bajo el sol, como la mayoría de los escáneres de vulnerabilidad tienden a hacer hoy. Esto se hará para reducir la fatiga de alerta para los equipos de seguridad.



Enlace a la noticia unique