據外媒報導，谷歌為大型企業網絡提供了開源的漏洞掃描儀“海嘯(Tsunami)”。據悉，這款掃描儀已經在谷歌內部使用並且已於上月發佈在GitHub上。“海嘯”將不是谷歌的正式品牌產品，而是由開源社區來維護，類似於谷歌首次將Kubernetes（谷歌另一個內部工具）提供給大眾的方式。

“海嘯”是如何運轉的

市場上已有數百種其他商業或開源的漏洞掃描儀，但“海嘯”不同的是，這款掃描儀是谷歌為像自己這般規模的公司設計的。這包括管理網絡的公司，而該類型公司的網絡可能擁有數十萬台服務器、工作站、網絡設備以及連接到互聯網的物聯網設備。

谷歌表示，他們設計的“海嘯”能在一開始就適應這些非常多樣化、非常大的網絡，而無需為每種設備類型運行不同的掃描儀。

據介紹公司介紹，它首先將“海嘯”分解成兩個主要部分，然後再在上面添加一個可擴展的插件機制。

第一個組件是掃描儀本身，也就是偵察模塊。該組件會通過掃描公司的網絡來尋找開放的端口。然後對每個端口進行測試並試圖識別在每個端口上運行的確切協議和服務以防對端口進行錯誤標記，同時還會測試設備是否存在錯誤的漏洞。谷歌指出，端口指紋模塊雖然是基於行業測試的nmap網絡映射引擎，但也使用了一些定制代碼。

第二個組建就比較複雜了，其基於第一個組建的結果運行。它將獲取每個設備及其暴露的端口、選擇要測試的漏洞列表然後運行良性漏洞檢查設備是否極易受到攻擊。漏洞驗證模塊也是通過插件擴展“海嘯”的方法實現。

當前“海嘯”版本提供的插件：

暴露的敏感UI：像Jenkins、Jupyter和Hadoop Yarn等應用會隨UI允許用戶調度工作負載或執行系統命令。如果這些系統在沒有身份驗證的情況下暴露在網絡上，攻擊者就可以利用應用的功能來執行惡意命令。

弱憑證：“海嘯”利用其他開源工具如ncrack檢測為包括SSH、FTP、RDP和MySQL在內的協議和工具所用的弱密碼。

谷歌表示，他們計劃在未來幾個月通過新的插件來增強“海嘯”從而達到探測到更廣泛漏洞的目的。所有插件都將通過第二個GitHub專用庫發布。

項目將集中在假陽性結果

谷歌表示，“海嘯”項目將專注於滿足像自己這樣的高端企業客戶的目標以及這些大型多設備網絡條件。

掃描的準確性將會是主要目標，項目的重點是提供盡可能少的假陽性（即不正確的檢測）結果。

這一點很重要，因為掃描儀將運行在巨大的網絡中，而在這些網絡中，即使是最輕微的錯誤發現也會導致向成百上千的設備發送不正確的補丁進而可能導致設備、網絡崩潰、無數工作時間被浪費甚至對公司的底線造成損失。

此外，“海嘯”還將擴展到只支持可能被武器化的高嚴重性漏洞，而不是像現在大多數漏洞掃描儀所做的那樣，專注於掃描所有的漏洞。