Google опубликовал код сканера безопасности Tsunami


Компания Google представила сканер безопасности Tsunami, предназначенный для проверки хостов в сети на наличие известных уязвимостей или выявления проблем с настройками, влияющими на защищённость инфраструктуры. Tsunami предоставляет общую универсальную платформу, функциональность которой определяется через плагины. Например, предлагается плагин для сканирования портов на базе nmap и плагин проверки ненадёжных параметров аутентификации на базе Ncrack, а также плагины с детекторами уязвимостей в Hadoop Yarn, Jenkins, Jupyter и Wordpress. Код проекта написан на языке Java и распространяется под лицензией Apache 2.0.

Целью проекта является предоставление инструмента для оперативного выявления уязвимостей в крупных компаниях с разветвлёнными сетевыми инфраструктурами. При раскрытии сведений о новых критических проблемах возникает гонка с атакующими, которые стремятся атаковать инфраструктуры предприятий раньше, чем проблема будет устранена. Проблемные компоненты должны быть выявлены сотрудниками компании как можно раньше, так как система может быть атакована в считанные часы после раскрытия данных об уязвимости. В компаниях с тысячами систем, имеющих выход в интернет, не обойтись без автоматизации проверки, и Tsunami признан решить подобную задачу.

Tsunami позволяет быстро самостоятельно создавать нужные детекторы уязвимостей или использовать готовые коллекции для выявления наиболее опасных проблем, для которых зафиксировано проведение атак. После сканирования сети Tsunami предоставляет отчёт о выполненной проверке, в котором делается акцент на снижение числа ложных срабатываний для того, чтобы не отнимать лишнее время на разбор. Tsunami также развивается с оглядкой на масштабирование и автоматизацию выполнения проверок, что позволяет использовать его, например, для регулярного мониторинга надёжности применяемых параметров аутентификации.

Процесс проверки в Tsunami разделён на два этапа:

  • Сбор информации о сервисах в сети. На данном этапе определяются открытые порты, а также связанные с ними сервисы, протоколы и приложения. На данной стадии используются уже хорошо зарекомендовавшие себя инструменты, такие как nmap.
  • Верификация уязвимостей. На основе полученной на первом этапе информации, выбираются и запускаются плагины, подходящие для выявленных сервисов. Для финального подтверждения наличия проблемы применяются полностью работающие обезвреженные эксплоиты. Дополнительно может осуществляться проверка надёжности типовых учётных данных для определения ненадёжных паролей, осуществляемая при помощи программы ncrack, поддерживающей различные протоколы, включая SSH, FTP, RDP и MySQL.

Проект находится на стадии альфа-тестирования, но Google уже использует Tsunami для непрерывного сканирования и защиты всех своих сервисов, доступ к которым открыт для внешних запросов. Из ближайших планов по наращиванию функциональности отмечается реализация новых плагинов для выявления критических проблем, приводящих к удалённому выполнению кода, а также добавлению более продвинутого компонента для определения используемых приложений (web app fingerprinter), который позволит улучшить логику выбора того или иного проверочного плагина. Из отдалённых планов упоминаются предоставление средств для написания плагинов на любых языках программирования и возможность динамического добавления плагинов.

Источник: https://www.opennet.ru/opennews/art.shtml?num=53192


Comments 0