谷歌开源 Tsunami 漏洞扫描程序，用于大型企业网络

技术编辑：芒果果丨发自 思否编辑部
SegmentFault 思否报道丨公众号：SegmentFault

谷歌为大型企业网络开源了一种名为 Tsunami 的可扩展的网络扫描程序。该程序已于上个月在 GitHub 上开源，并在谷歌内部开始使用。

谷歌表示，Tsunami 由成千上万甚至数百万个与互联网链接的系统组成，可用于检测高严重性的漏洞，并尽量减小误报。

据了解，Tsunami 不会成为谷歌的正式品牌产品，而是由开源社区维护，相似于谷歌首次向大众提供的 Kubernetes（另外一种谷歌内部工具）的方式。

Tsunami 如何运做

目前，市场上已经有数百种其余商业或开放源代码的漏洞扫描器，但 Tsunami 的不一样之处在于，谷歌在创建扫描程序时将目光对准了像本身这样的大型公司。这包括管理网络的公司，这些网络包括成千上万的服务器、工做站、网络设备和链接到互联网的物联网设备。

谷歌表示，其设计 Tsunami 的初衷是为了适应这些极其多样化和极其庞大的网络，而不须要为每种设备类型运行不一样的扫描器。

Tsunami 由两个主要部分组成，顶部添加了可扩展的插件机制。

它的第一个组件是扫描器自己，或者说是侦察模块，该组建扫描公司网络中的开放端口。而后，它会测试每一个端口，并尝试识别每一个端口上运行的确切协议和服务，以防止错误标记端口和测试设备的错误漏洞。

谷歌表示，端口指纹识别模块基于行业测试的 nmap 网络映射引擎，但也使用了一些自定义代码。

第二个部分比较复杂。这一个基于第一个的结果运行。它获取每一个设备及其公开的端口，选择要测试的漏洞列表，并运行良性开发以检查设备是否容易受到攻击。

漏洞验证模块也是 Tsunami 如何经过插件扩展的方法，经过这种方法，安全团队能够添加新的攻击载体和漏洞来检查他们的网络内部。

当前的 Tsunami 版本带有用于检查如下内容的插件：

• 暴露的敏感 UI：Jenkins、Jupyter 和 Hadoop Yarn 之类的应用程序 附带了 UI，这些 UI 容许用户调度工做负载或执行系统命令。若是这些系统未经身份验证就暴露在网络上，则攻击者能够利用应用程序的功能来执行恶意命令。

• 弱证书: Tsunami 使用其余开放源码工具，如 ncrack 来检测协议和工具（包括 SSH、 FTP、 RDP 和 MySQL）使用的弱密码。

谷歌计划在将来几个月经过新的插件加强 Tsunami，以探测更普遍的漏洞。全部的插件都将经过第二个专门的 GitHub 存储库发布。

Tsunami 将用于大型网络，扫描重大漏洞

谷歌表示，扫描精度是 Tsunami 关注的主要因素，它的主要功能就是尽量减小错误的检测结果。Tsunami  将来的重点将是知足像本身这样的高端企业客户的目标，以及在这些类型的大型和多设备网络中扫描漏洞。

这一点很是重要，由于漏洞扫描程序运行在巨大的网络中，在这些网络中，即便是最轻微的错误结果也可能致使向成百上千的设备发送不正确的补丁，可能致使设备崩溃和网络崩溃。不只会浪费无数的工做时间，甚至可能给公司形成更大的损失。

此外，Tsunami 也将扩展到仅支持扫描高度严重的漏洞威胁，而不是像大多数扫描程序侧重于扫描全部程序，这样作能够减小安全团队的警报疲劳，确保重大漏洞能被及时处理。