最近，谷歌專門為大型企業網絡開源了一個漏洞掃描神器，主要用于數千個甚至數百萬個物聯網組成的企業系統。為了讓大家放心使用，谷歌已經將“海嘯”用于內部使用一個月之久了。

[[333830]]

不過，“海嘯”并非是谷歌官方的產品，而是由開源社區來維護，有點類似于Kubernetes。

“海嘯”是如何運行的？

市場上已經有數百種類似的商業或開源的漏洞掃描器，但“海嘯”和這些漏洞掃描器不同的是，它是專門為類似谷歌這樣規模的企業構建的，諸如網絡管理的企業，這些網絡包括數十萬臺的服務器、工作站，網絡設備和連接到互聯網的物聯網設備。

谷歌表示，他們設計的“海嘯”能夠直接適應這些大型網絡，而不需要為每種設備類型運行不同的掃描儀。

海嘯由兩個部分組成，然后在這個基礎上添加一個可擴展的插件機制，第一個組件是掃描儀本身，也就是偵查模塊，該組件可以掃描企業網絡的開放端口，然后測試每個端口，并試圖識別在每個端口上運行的服務和協議，以防對端口進行錯誤標記，并標記測試設備是否存在錯誤的漏洞

谷歌表示，端口指紋模塊基于行業測試的nmap網絡映射引擎，“海嘯”的第二個部分比較復雜，這一部分是基于第一部分的運行結果，它獲取每個設備及其暴露的端口，選擇要測試的漏洞列表，并運行檢查設備是否容易受到攻擊。

漏洞驗證模塊是通過“海嘯”的插件拓展方式，安全團隊可以通過添加插件的方式，添加新的攻擊載體和漏洞來檢測內部網絡。

當前的海嘯版本已經包含了多個插件幫助你檢測：

• Exposed sensitive UIs：Jenkins, Jupyter和Hadoop Yarn都帶有UI，允許用戶工作負載調度或執行系統命令，如果這些系統在沒有身份驗證的情況下暴露在internet上，攻擊者可以利用應用程序的功能來執行惡意命令。
• 弱憑證：“海嘯”使用其他開源工具（如ncrack）檢測協議和工具包（包括SSH、FTP、RDP和MySQL）使用的弱密碼。

谷歌表示，未來幾個月他們將通過新增插件來增強“海嘯”的功能特性，從而檢測到更多的漏洞，所有的插件都將通過Github發布。

“海嘯”目標？

谷歌表示，“海嘯”旨在滿足類似于谷歌這樣的高端企業的客戶需求，漏洞掃描的準確性是重中之重，項目的重點是避免出現錯誤的檢測結果。

這一點是至關重要的，因為掃描器將運行在巨大的網絡中，在這些網絡中，即使是最輕微的錯誤發現也會導致向成百上千的設備發送不正確的補丁，最終導致設備/網絡崩潰，造成不必要的損失。

此外，為了減少安全團隊的警戒疲勞，海嘯還將擴展到只支持掃描那些可能被武器化的高危漏洞，而不是像目前的大多數漏洞掃描器所做的那樣，專注于掃描所有的漏洞。

“海嘯”發布不久，已經穩穩霸住Github周榜第一的位置，收獲標星4435個，累計分支362個（Github地址：https://github.com/google/tsunami-security-scanner），感興趣的小伙伴們不要錯過了哦。