Google a mis en open-source un scanner de vulnérabilités pour les réseaux d’entreprise à grande échelle composés de milliers, voire de millions de systèmes connectés à Internet.
Nommé Tsunami, le scanner a été utilisé en interne chez Google et a été mis à disposition sur GitHub le mois dernier.
Tsunami ne sera pas un produit Google de marque officielle mais sera plutôt maintenu par la communauté open-source, de manière similaire à la façon dont Google a d’abord mis Kubernetes (un autre outil interne à Google) à la disposition des masses.
Comment fonctionne Tsunami
Il existe déjà des centaines d’autres scanners de vulnérabilité commerciaux ou open-source sur le marché, mais ce qui est différent avec Tsunami, c’est que Google a construit le scanner en pensant à des entreprises de taille mammouth comme lui.
Ce sont notamment des entreprises qui gèrent des réseaux comprenant des centaines de milliers de serveurs, de postes de travail, d’équipements réseau et de dispositifs IoT connectés à Internet.
Google dit avoir conçu Tsunami pour qu’il s’adapte d’emblée à ces réseaux extrêmement divers et extrêmement vastes, sans qu’il soit nécessaire d’exécuter des scanners différents pour chaque type de périphérique.
Google dit avoir fait cela en divisant d’abord Tsunami en deux parties principales, puis en ajoutant un mécanisme de plugin extensible par-dessus.
Le premier composant de Tsunami est le scanner lui-même — ou le module de reconnaissance. Ce composant scanne le réseau d’une entreprise à la recherche de ports ouverts. Il teste ensuite chaque port et tente d’identifier les protocoles et services exacts qui s’exécutent sur chacun d’eux, dans le but d’éviter de mal étiqueter les ports et de tester les dispositifs pour les mauvaises vulnérabilités.
Google a déclaré que le module de reconnaissance des ports est basé sur le moteur de cartographie réseau nmap, testé par l’industrie, mais qu’il utilise également un peu de code personnalisé.
Le deuxième composant est celui qui est le plus complexe. Celui-ci s’exécute en fonction des résultats du premier. Il prend chaque appareil et ses ports exposés, sélectionne une liste de vulnérabilités à tester et exécute des exploits bénins pour vérifier si l’appareil est vulnérable aux attaques.
Le module de vérification des vulnérabilités est également la façon dont Tsunami peut être étendu par le biais de plugins — le moyen par lequel les équipes de sécurité peuvent ajouter de nouveaux vecteurs d’attaque et de nouvelles vulnérabilités à vérifier à l’intérieur de leurs réseaux.
La version actuelle de Tsunami est livrée avec des plugins pour vérifier :
- Les interfaces utilisateur sensibles exposées : Des applications telles que Jenkins, Jupyter et Hadoop Yarn sont livrées avec des interfaces utilisateur qui permettent à un utilisateur de planifier des charges de travail ou d’exécuter des commandes système. Si ces systèmes sont exposés à Internet sans authentification, les attaquants peuvent tirer parti de la fonctionnalité de l’application pour exécuter des commandes malveillantes.
- Des informations d’identification faibles : Tsunami utilise d’autres outils open source tels que ncrack pour détecter les mots de passe faibles utilisés par des protocoles et des outils, notamment SSH, FTP, RDP et MySQL.
Google a déclaré qu’il prévoyait d’améliorer Tsunami par le biais de nouveaux plugins pour détecter une plus grande variété d’exploits dans les mois à venir. Tous les plugins seront publiés par le biais d’un second dépôt GitHub dédié.
Le projet sera axé sur l’absence de faux positifs
Le géant de la recherche a déclaré qu’à l’avenir, Tsunami s’attachera à répondre aux objectifs des entreprises clientes haut de gamme comme lui, et aux conditions rencontrées dans ces types de réseaux importants et multi-appareils.
La précision du scan sera l’objectif principal, le projet s’attachant à fournir des résultats avec le moins possible de faux positifs (détections incorrectes).
Ceci sera important puisque le scanner fonctionnera à l’intérieur de réseaux géants où le moindre faux-positif peut entraîner l’envoi de correctifs incorrects à des centaines ou des milliers d’appareils, ce qui peut entraîner des pannes d’appareils, des pannes de réseau. D’innombrables heures de travail gaspillées, et même des pertes pour le résultat net d’une entreprise.
En outre, Tsunami sera également étendu avec un support uniquement pour les vulnérabilités de haute gravité qui sont susceptibles d’être militarisées, plutôt que de se concentrer sur l’analyse de tout sous le soleil, comme la plupart des scanners de vulnérabilité ont tendance à le faire aujourd’hui. Cela sera fait pour réduire la fatigue des alertes pour les équipes de sécurité.