Google представила сканер безпеки Tsunami, призначений для перевірки хостів в мережі на наявність відомих уразливостей або виявлення проблем з налаштуваннями, що впливають на захищеність інфраструктури. Tsunami надає загальну універсальну платформу, функціональність якої визначається через плагіни. Наприклад, пропонується плагін для сканування портів на базі nmap і плагін перевірки ненадійних параметрів аутентифікації на базі Ncrack, а також плагіни з детекторами вразливостей в Hadoop Yarn, Jenkins, Jupyter і Wordpress. Код проєкту написаний на мові Java і поширюється під ліцензією Apache 2.0.
Метою проєкту є надання інструменту для оперативного виявлення вразливостей у великих компаніях з розгалуженими мережевими інфраструктурами. При розкритті інформації про нові критичні проблеми виникає перегони з атакувальниками, які прагнуть атакувати інфраструктури підприємств раніше, ніж проблема буде усунена. Проблемні компоненти повинні бути виявлені співробітниками компанії як можна раніше, оскільки система може бути атакована в лічені години після розкриття даних про уразливості. У компаніях з тисячами систем, що мають вихід в інтернет, не обійтися без автоматизації перевірки, і Tsunami призваний розв'язувати подібну задачу.
Tsunami дозволяє швидко самостійно створювати потрібні детектори вразливостей чи використовувати готові колекції для виявлення найбільш небезпечних проблем, для яких зафіксовано проведення атак. Після сканування мережі Tsunami надає звіт про виконану перевірку, в якому робиться акцент на зниження числа помилкових спрацьовувань для того, щоб не віднімати зайвий час на розбір. Tsunami також розвивається з оглядкою на масштабування та автоматизацію виконання перевірок, що дозволяє використовувати його, наприклад, для регулярного моніторингу надійності застосовуваних параметрів аутентифікації.
Процес перевірки Tsunami розділений на два етапи:
- Збір інформації про сервіси в мережі. На даному етапі визначаються відкриті порти, а також пов'язані з ними сервіси, протоколи та додатки. На цій стадії використовуються вже добре зарекомендовані інструменти, такі як nmap.
- Верифікація вразливостей. На основі отриманої на першому етапі інформації, вибираються і запускаються плагіни, які підходять для виявлених сервісів. Для фінального підтвердження наявності проблеми застосовуються повністю робочі знешкоджені експлойти. Додатково може здійснюватися перевірка надійності типових облікових даних для визначення ненадійних паролів, що здійснюється за допомогою програми ncrack, яка підтримує різні протоколи, включаючи SSH, FTP, RDP і MySQL.
Проєкт знаходиться на початковій стадії альфа-тестування, але Google вже використовує Tsunami для безперервного сканування і захисту всіх своїх сервісів, доступ до яких відкритий для зовнішніх запитів. З найближчих планів щодо нарощування функціональності відмічається реалізація нових плагінів для виявлення критичних проблем, що призводять до віддаленого виконання коду, а також додати більш просунутого компонента для визначення додатків що використовуються (web app fingerprinter), які дозволять поліпшити логіку вибору того чи іншого плагіна для перевірки. З віддалених планів згадуються надання засобів для написання плагінів на будь-яких мовах програмування і можливість динамічного додавання плагінів.
Ще немає коментарів