Google ha sviluppato uno scanner di vulnerabilità per reti aziendali composto da migliaia, se non milioni, di sistemi connessi a Internet. Chiamato Tsunami, lo scanner è utilizzato internamente su Google ed è stato reso disponibile su GitHub il mese scorso.
Tsunami non sarà un prodotto ufficiale di Google, ma sarà invece gestito dalla comunità open source, allo stesso modo in cui Google ha reso Kubernetes (un altro strumento interno di Google) per la prima volta disponibile al pubblico.
Tsunami al servizio delle grandi aziende
Tsunami a differenza degli altri scanner di vulnerabilità commerciali o open source già presenti sul mercato, è stato creato pensando alle aziende di grandi dimensioni. In pratica quelle che si trovano a gestire reti che comprendono centinaia di migliaia di server, workstation, apparecchiature di rete e dispositivi IoT connessi a Internet.
Google ha dichiarato di aver progettato Tsunami per adattarsi a queste reti estremamente diverse ed estese. Le aziende potranno quindi fare scansioni diverse per ogni tipo di dispositivo. Tsunami è diviso in due parti principali e è incluso anche un meccanismo di plugin.
Due componenti
Il primo componente di Tsunami è lo scanner stesso. Questo componente esegue la scansione della rete di un’azienda alla ricerca di porte aperte. Quindi verifica ciascuna porta e tenta di identificare i protocolli e i servizi in esecuzione su di essa, per evitare errori di etichettatura e testare i dispositivi per le vulnerabilità. Google afferma che il modulo di analisi delle porte si basa sul motore di mappatura della rete nmap già conosciuto nel settore, ma al tempo stesso utilizza anche un codice personalizzato.
Il secondo elemento è il più complesso. Funziona sulla base dei risultati del primo. Prende ogni dispositivo e le sue porte esposte, seleziona un elenco di vulnerabilità da testare ed esegue exploit benigni per verificare se il dispositivo è vulnerabile agli attacchi. Il modulo di controllo delle vulnerabilità consente inoltre a Tsunami di essere esteso tramite plugin. Questo consente ai team di sicurezza di aggiungere nuovi vettori di attacco e nuove vulnerabilità.
L’attuale versione di Tsunami viene fornita con questi plugin:
- Interfaccia utente: applicazioni come Jenkins , Jupyter e Hadoop Yarn dispongono di interfacce utente che consentono di programmare carichi di lavoro o eseguire comandi di sistema. Se questi sistemi sono esposti a Internet senza autenticazione, gli aggressori possono sfruttare la funzionalità dell’applicazione per eseguire comandi dannosi.
- Crediti deboli: Tsunami utilizza altri strumenti open source come ncrack per rilevare password deboli utilizzate da protocolli e strumenti come SSH, FTP, RDP e MySQL.
Google ha dichiarato di voler migliorare Tsunami con nuovi plugin per rilevare una più ampia varietà di exploit nei prossimi mesi. Tutti i plugin saranno disponibili tramite un secondo repository GitHub
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
🔝LinkedIn pubblica il report Top Companies Italia 2024: al primo posto Intesa Sanpaolo
🍪Il futuro della privacy online: Google dice addio ai cookie di terze parti
🪪Parliamo di SASE: intervista a Aldo Di Mattia di Fortinet
💡AMD e i data center energeticamente sostenibili. Intervista ad Alexander Troshin
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!