Google heeft een kwetsbaarheidsscanner opengesteld voor grootschalige bedrijfsnetwerken die bestaan uit duizenden of zelfs miljoenen met internet verbonden systemen.
De scanner, Tsunami genaamd, wordt intern bij Google gebruikt en is vorige maand beschikbaar gemaakt op GitHub.
Tsunami zal geen officieel Google product zijn, maar zal in plaats daarvan worden onderhouden door de open-source gemeenschap, vergelijkbaar met de manier waarop Google eerst Kubernetes (een andere interne tool van Google) beschikbaar maakte voor de massa’s.
Hoe Tsunami werkt
Er zijn al honderden andere commerciële of open-sourced kwetsbaarheidsscanners op de markt, maar wat anders is aan Tsunami is dat Google de scanner heeft gebouwd met mammoet-grote bedrijven zoals zijzelf in gedachten.
Dit omvat bedrijven die netwerken beheren die honderdduizenden servers, werkstations, netwerkapparatuur en IoT-apparaten omvatten die zijn aangesloten op het internet.
Google zegt dat het Tsunami heeft ontworpen om zich direct aan te passen aan deze extreem diverse en extreem grote netwerken, zonder de noodzaak om verschillende scanners voor elk type apparaat te gebruiken.
Google zegt dat het dit heeft gedaan door Tsunami eerst op te splitsen in twee hoofdonderdelen, en vervolgens een uitbreidbaar plugin-mechanisme toe te voegen.
Het eerste Tsunami onderdeel is de scanner zelf — of de verkenningsmodule. Dit onderdeel scant het netwerk van een bedrijf op open poorten. Vervolgens test het elke poort en probeert de exacte protocollen en services te identificeren die op elke poort draaien, in een poging om verkeerd labelen van poorten en het testen van apparaten op de verkeerde kwetsbaarheden te voorkomen.
Google zegt dat de port fingerprinting module is gebaseerd op de in de industrie geteste nmap network mapping engine, maar maakt ook gebruik van een aantal aangepaste code.
De tweede component is degene die complexer is. Deze is gebaseerd op de resultaten van de eerste. Het neemt elk apparaat en de blootliggende poorten, selecteert een lijst met kwetsbaarheden om te testen, en voert goedaardige exploits uit om te controleren of het apparaat kwetsbaar is voor aanvallen.
De module voor het controleren van kwetsbaarheden is ook de manier waarop Tsunami kan worden uitgebreid via plugins – de manier waarop beveiligingsteams nieuwe aanvalsvectoren en kwetsbaarheden kunnen toevoegen om binnen hun netwerken te controleren.
De huidige versie van Tsunami wordt geleverd met plugins om te controleren op:
- Blootgestelde gevoelige UI’s: Toepassingen zoals Jenkins, Jupyter en Hadoop Yarn worden geleverd met UI’s waarmee een gebruiker workloads kan plannen of systeemcommando’s kan uitvoeren. Als deze systemen zonder authenticatie aan het internet worden blootgesteld, kunnen aanvallers de functionaliteit van de toepassing gebruiken om kwaadaardige opdrachten uit te voeren.
- Zwakke referenties: Tsunami maakt gebruik van andere open source tools zoals ncrack om zwakke wachtwoorden te detecteren die worden gebruikt door protocollen en tools zoals SSH, FTP, RDP en MySQL.
Google zei dat het van plan is om Tsunami in de komende maanden te verbeteren door middel van nieuwe plugins om een grotere verscheidenheid aan exploits te detecteren. Alle plugins zullen worden vrijgegeven via een tweede speciale GitHub repository.
Project zal worden gericht op geen false-positives
De zoekgigant zei dat Tsunami zich in de toekomst zal richten op het voldoen aan de doelen van high-end enterprise klanten zoals hijzelf, en de omstandigheden die worden aangetroffen in dit soort grote en multi-device netwerken.
Nauwkeurigheid van de scan zal het primaire doel zijn, waarbij het project zich richt op het leveren van resultaten met zo min mogelijk false-positives (onjuiste detecties).
Dit is belangrijk omdat de scanner binnen gigantische netwerken zal draaien, waar zelfs de geringste fout-positieve bevindingen kunnen resulteren in het verzenden van onjuiste patches naar honderden of duizenden apparaten, mogelijk resulterend in apparaatcrashes, netwerkcrashes.
Daarnaast zal Tsunami ook worden uitgebreid met alleen ondersteuning voor kwetsbaarheden met een hoge ernstgraad die waarschijnlijk zullen worden bewapend, in plaats van zich te richten op het scannen op alles onder de zon, zoals de meeste kwetsbaarhedenscanners vandaag de dag plegen te doen. Dit zal worden gedaan om waarschuwingsmoeheid bij beveiligingsteams te verminderen.