Google hat einen Schwachstellen-Scanner für große Unternehmensnetzwerke, die aus Tausenden oder gar Millionen von mit dem Internet verbundenen Systemen bestehen, veröffentlicht.
Der Scanner mit dem Namen Tsunami wird intern bei Google eingesetzt und wurde letzten Monat auf GitHub verfügbar gemacht.
Tsunami wird kein offizielles Google-Produkt sein, sondern von der Open-Source-Community gepflegt, ähnlich wie Google zuerst Kubernetes (ein weiteres Google-internes Tool) für die breite Masse verfügbar gemacht hat.
Wie Tsunami funktioniert
Es gibt bereits Hunderte von anderen kommerziellen oder Open-Source-Schwachstellen-Scannern auf dem Markt, aber das Besondere an Tsunami ist, dass Google den Scanner mit Blick auf große Unternehmen wie sich selbst entwickelt hat.
Dazu gehören Unternehmen, die Netzwerke verwalten, die Hunderttausende von Servern, Workstations, Netzwerkgeräten und IoT-Geräten umfassen, die mit dem Internet verbunden sind.
Google sagte, dass es Tsunami so entwickelt hat, dass es sich von Anfang an an diese extrem unterschiedlichen und extrem großen Netzwerke anpassen kann, ohne dass für jeden Gerätetyp ein anderer Scanner benötigt wird.
Google sagte, dass es dies erreicht hat, indem es Tsunami zunächst in zwei Hauptteile aufgespalten hat und dann einen erweiterbaren Plugin-Mechanismus hinzugefügt hat.
Die erste Tsunami-Komponente ist der Scanner selbst – oder das Aufklärungsmodul. Diese Komponente scannt das Netzwerk eines Unternehmens nach offenen Ports. Es testet dann jeden Port und versucht, die genauen Protokolle und Dienste zu identifizieren, die auf jedem laufen, um zu verhindern, dass Ports falsch etikettiert werden und Geräte auf die falschen Schwachstellen getestet werden.
Google sagte, dass das Port-Fingerprinting-Modul auf der industrieerprobten nmap-Netzwerk-Mapping-Engine basiert, aber auch einige benutzerdefinierte Codes verwendet.
Die zweite Komponente ist die, die etwas komplexer ist. Diese läuft auf Basis der Ergebnisse der ersten. Sie nimmt jedes Gerät und seine exponierten Ports, wählt eine Liste von zu testenden Schwachstellen aus und führt gutartige Exploits aus, um zu prüfen, ob das Gerät für Angriffe verwundbar ist.
Das Modul zur Überprüfung von Schwachstellen ist auch die Art und Weise, wie Tsunami durch Plugins erweitert werden kann – das Mittel, mit dem Sicherheitsteams neue Angriffsvektoren und Schwachstellen hinzufügen können, die in ihren Netzwerken überprüft werden sollen.
Die aktuelle Tsunami-Version wird mit Plugins ausgeliefert, die auf Folgendes prüfen:
- Exponierte sensible UIs: Anwendungen wie Jenkins, Jupyter und Hadoop Yarn werden mit UIs ausgeliefert, die es dem Benutzer erlauben, Workloads zu planen oder Systembefehle auszuführen. Wenn diese Systeme ohne Authentifizierung dem Internet ausgesetzt sind, können Angreifer die Funktionalität der Anwendung ausnutzen, um bösartige Befehle auszuführen.
- Schwache Anmeldeinformationen: Tsunami nutzt andere Open-Source-Tools wie ncrack, um schwache Passwörter zu erkennen, die von Protokollen und Tools wie SSH, FTP, RDP und MySQL verwendet werden.
Google sagte, dass es plant, Tsunami durch neue Plugins zu erweitern, um in den kommenden Monaten eine größere Vielfalt von Exploits zu erkennen. Alle Plugins werden über ein zweites, dediziertes GitHub-Repository veröffentlicht.
Projekt konzentriert sich auf keine False-Positives
Der Suchgigant sagte, dass sich Tsunami in Zukunft darauf konzentrieren wird, die Ziele von High-End-Unternehmenskunden wie ihm selbst und die Bedingungen, die in diesen Arten von großen und geräteübergreifenden Netzwerken vorzufinden sind, zu erfüllen.
Die Scan-Genauigkeit wird das primäre Ziel sein, wobei sich das Projekt darauf konzentriert, Ergebnisse mit so wenig False-Positives (falsche Erkennungen) wie möglich zu liefern.
Dies ist wichtig, da der Scanner in riesigen Netzwerken eingesetzt wird, in denen selbst die kleinsten falsch-positiven Ergebnisse dazu führen können, dass falsche Patches an Hunderte oder Tausende von Geräten gesendet werden, was möglicherweise zu Geräteabstürzen, Netzwerkabstürzen und unzähligen verschwendeten Arbeitsstunden führt.
Außerdem wird Tsunami so erweitert, dass er nur noch Schwachstellen mit hohem Schweregrad unterstützt, die wahrscheinlich als Waffe eingesetzt werden können, anstatt sich auf das Scannen nach allen möglichen Schwachstellen zu konzentrieren, wie es die meisten Schwachstellen-Scanner heute tun. Dies soll die Ermüdung der Sicherheitsteams verringern.