Google ha aperto uno scanner di vulnerabilità per reti aziendali su larga scala costituite da migliaia o addirittura milioni di sistemi connessi a Internet.
Nominato Tsunami, lo scanner è stato utilizzato internamente a Google ed è stato reso disponibile su GitHub il mese scorso.
Tsunami non sarà un prodotto ufficiale di Google ma sarà invece mantenuto dalla comunità open-source, in modo simile a come Google ha reso Kubernetes (un altro strumento interno di Google) disponibile per le masse.
Come funziona Tsunami
Ci sono già centinaia di altri scanner di vulnerabilità commerciali o open-sourced sul mercato, ma ciò che è diverso da Tsunami è che Google ha costruito lo scanner con aziende di dimensioni mastodontiche come lei in mente.
Questo include aziende che gestiscono reti che includono centinaia di migliaia di server, workstation, apparecchiature di rete e dispositivi IoT che sono collegati a Internet.
Google ha detto di aver progettato Tsunami per adattarsi a queste reti estremamente diverse ed estremamente grandi fin dall’inizio, senza la necessità di eseguire diversi scanner per ogni tipo di dispositivo.
Google ha detto di averlo fatto dividendo Tsunami in due parti principali, e poi aggiungendo un meccanismo di plugin estendibile in cima.
Il primo componente di Tsunami è lo scanner stesso — o il modulo di ricognizione. Questo componente scansiona la rete di un’azienda alla ricerca di porte aperte. Poi testa ogni porta e tenta di identificare i protocolli esatti e i servizi in esecuzione su ciascuno, nel tentativo di evitare di etichettare erroneamente le porte e testare i dispositivi per le vulnerabilità sbagliate.
Google ha detto che il modulo di fingerprinting delle porte è basato sul motore di mappatura della rete nmap, testato dall’industria, ma utilizza anche del codice personalizzato.
Il secondo componente è quello più complesso. Questo funziona sulla base dei risultati del primo. Prende ogni dispositivo e le sue porte esposte, seleziona una lista di vulnerabilità da testare, ed esegue exploit benigni per verificare se il dispositivo è vulnerabile agli attacchi.
Il modulo di verifica delle vulnerabilità è anche il modo in cui Tsunami può essere esteso attraverso i plugin — il mezzo attraverso il quale i team di sicurezza possono aggiungere nuovi vettori di attacco e vulnerabilità da controllare all’interno delle loro reti.
L’attuale versione di Tsunami viene fornita con plugin per verificare:
- UI sensibili esposte: Applicazioni come Jenkins, Jupyter e Hadoop Yarn sono dotate di UI che permettono all’utente di programmare i carichi di lavoro o di eseguire i comandi del sistema. Se questi sistemi sono esposti a Internet senza autenticazione, gli attaccanti possono sfruttare la funzionalità dell’applicazione per eseguire comandi dannosi.
- Credenziali deboli: Tsunami utilizza altri strumenti open source come ncrack per rilevare le password deboli utilizzate da protocolli e strumenti tra cui SSH, FTP, RDP e MySQL.
Google ha detto che prevede di migliorare Tsunami attraverso nuovi plugin per rilevare una più ampia varietà di exploit nei prossimi mesi. Tutti i plugin saranno rilasciati attraverso un secondo repository GitHub dedicato.
Il progetto sarà incentrato sull’assenza di falsi positivi
Il gigante della ricerca ha detto che in futuro Tsunami si concentrerà sul raggiungimento degli obiettivi dei clienti aziendali di fascia alta come lui, e sulle condizioni trovate in questi tipi di reti grandi e multi-device.
L’accuratezza della scansione sarà l’obiettivo primario, con il progetto che si concentra sul fornire risultati con il minor numero possibile di falsi positivi (rilevazioni errate).
Questo sarà importante dal momento che lo scanner sarà in esecuzione all’interno di reti gigantesche dove anche il più piccolo falso-positivo può risultare nell’invio di patch errate a centinaia o migliaia di dispositivi, possibilmente causando crash del dispositivo, crash della rete. Inoltre, Tsunami sarà esteso con il supporto solo per le vulnerabilità ad alta gravità che possono essere trasformate in armi, piuttosto che concentrarsi sulla scansione di tutto sotto il sole, come la maggior parte degli scanner di vulnerabilità tende a fare oggi. Questo sarà fatto per ridurre l’affaticamento degli avvisi per i team di sicurezza.