谷歌开源 Tsunami 漏洞扫描程序，用于大型企业网络

技术编辑：芒果果丨发自 思否编辑部
SegmentFault 思否报道丨公众号：SegmentFault

谷歌为大型企业网络开源了一种名为 Tsunami 的可扩展的网络扫描程序。该程序已于上个月在 GitHub 上开源，并在谷歌内部开始使用。

谷歌表示，Tsunami 由成千上万甚至数百万个与互联网连接的系统组成，可用于检测高严重性的漏洞，并尽可能减少误报。

据了解，Tsunami 不会成为谷歌的正式品牌产品，而是由开源社区维护，类似于谷歌首次向大众提供的 Kubernetes（另一种谷歌内部工具）的方式。

Tsunami 如何运作

目前，市场上已经有数百种其他商业或开放源代码的漏洞扫描器，但 Tsunami 的不同之处在于，谷歌在建立扫描程序时将目光对准了像自己这样的大型公司。这包括管理网络的公司，这些网络包括成千上万的服务器、工作站、网络设备和连接到互联网的物联网设备。

谷歌表示，其设计 Tsunami 的初衷是为了适应这些极其多样化和极其庞大的网络，而不需要为每种设备类型运行不同的扫描器。

Tsunami 由两个主要部分组成，顶部添加了可扩展的插件机制。

它的第一个组件是扫描器本身，或者说是侦察模块，该组建扫描公司网络中的开放端口。然后，它会测试每个端口，并尝试识别每个端口上运行的确切协议和服务，以防止错误标记端口和测试设备的错误漏洞。

谷歌表示，端口指纹识别模块基于行业测试的 nmap 网络映射引擎，但也使用了一些自定义代码。

第二个部分比较复杂。这一个基于第一个的结果运行。它获取每个设备及其公开的端口，选择要测试的漏洞列表，并运行良性开发以检查设备是否容易受到攻击。

漏洞验证模块也是 Tsunami 如何通过插件扩展的方法，通过这种方法，安全团队可以添加新的攻击载体和漏洞来检查他们的网络内部。

当前的 Tsunami 版本带有用于检查以下内容的插件：

• 暴露的敏感 UI：Jenkins、Jupyter 和 Hadoop Yarn 之类的应用程序 附带了 UI，这些 UI 允许用户调度工作负载或执行系统命令。如果这些系统未经身份验证就暴露在网络上，则攻击者可以利用应用程序的功能来执行恶意命令。

• 弱证书: Tsunami 使用其他开放源码工具，如 ncrack 来检测协议和工具（包括 SSH、 FTP、 RDP 和 MySQL）使用的弱密码。

谷歌计划在未来几个月通过新的插件增强 Tsunami，以探测更广泛的漏洞。所有的插件都将通过第二个专门的 GitHub 存储库发布。

Tsunami 将用于大型网络，扫描重大漏洞

谷歌表示，扫描精度是 Tsunami 关注的主要因素，它的主要功能就是尽可能减少错误的检测结果。Tsunami  未来的重点将是满足像自己这样的高端企业客户的目标，以及在这些类型的大型和多设备网络中扫描漏洞。

这一点非常重要，因为漏洞扫描程序运行在巨大的网络中，在这些网络中，即使是最轻微的错误结果也可能导致向成百上千的设备发送不正确的补丁，可能导致设备崩溃和网络崩溃。不仅会浪费无数的工作时间，甚至可能给公司造成更大的损失。

此外，Tsunami 也将扩展到仅支持扫描高度严重的漏洞威胁，而不是像大多数扫描程序侧重于扫描所有程序，这样做可以减少安全团队的警报疲劳，确保重大漏洞能被及时处理。