Google heeft een nieuw ontwikkelingsprogramma gelanceerd dat is gericht op de Tsunami Security Scanner.
Op 28 september zeiden Guoli Ma, Sebastian Lekies en Claudio Criscione, leden van het team voor kwetsbaarheidsbeheer van Google, in een blogpost dat het nieuwe programma is ontworpen om de beveiligingsdetectiemogelijkheden van Tsunami te verbeteren.
De Tsunami-beveiligingsscanner , open source in juli 2020, was oorspronkelijk een interne Google-tool en is sindsdien gepubliceerd en beschikbaar gemaakt voor het publiek.
De scanner is ontworpen om grootschalige bedrijfsnetwerken te controleren op open poorten en vervolgens om blootstelling aan kwetsbaarheden te controleren op basis van de eerste verkenningsresultaten. Plug-ins kunnen door gebruikers worden geïmplementeerd om te controleren op specifieke beveiligingsfouten. Tsunami kan ook controleren op basisbeveiligingsproblemen, waaronder het gebruik van zwakke bedrijfsreferenties.
Google zegt dat het nieuwe, experimentele programma onderzoekers patch-beloningen zal geven voor het maken van plug-ins en applicatie-vingerafdrukken. De eerste vereist dat bijdragers plug-ins ontwikkelen die kunnen worden gebruikt voor verbeterde kwetsbaarheidsdetectie, terwijl de tweede webtoepassingsmodules vraagt die kunnen worden gebruikt om standaard webapps in een bedrijfsnetwerk te detecteren.
Het bedrijf is vooral geïnteresseerd in zeer ernstige bugs die een reële impact kunnen hebben op de bedrijfsbeveiliging.
“De kwetsbaarheid moet een hoge of kritieke ernstclassificatie hebben als er al een CVE-ID is toegewezen (CVSS-score >= 7,0)”, zegt Google. “Als er nog geen ernst is toegewezen, zal het Tsunami-scannerteam de triage uitvoeren en de ernst bepalen. Dit omvat meestal kwetsbaarheden zoals Remote Code Executions (RCE's), willekeurig uploaden van bestanden, misconfiguraties van de beveiliging die resulteren in de blootstelling van gevoelige beheerderspanelen, enzovoort.”
De techgigant zegt dat Tsunami ook meer vingerafdrukgegevens nodig heeft voor populaire web-apps die bugs kunnen bevatten die de beveiliging van een breder netwerk beïnvloeden. Als IT-teams zich niet realiseren dat ze aanwezig zijn, kan dit betekenen dat ze over het hoofd worden gezien in patchprocessen.
Bijdragen worden gecontroleerd door het kwetsbaarheidsbeheerteam van Google.
In juli kondigde Google een nieuw bug bounty-platform aan, https://bughunters.google.com. Het informatiecentrum brengt alle Vulnerability Rewards Programs (VRP's) van het bedrijf samen, waaronder Google, Android, Abuse, Chrome en Play om het openbaarmakingsproces van kwetsbaarheden te stroomlijnen.
Het is op dit platform dat diegenen die geïnteresseerd zijn in het Tsunami-programma de in-scope lijsten kunnen vinden voor bijdragen aan open source-tools en Tsunami.
Financiële beloningen variëren. Voor vingerafdrukken van webapplicaties is Google bereid een vast bedrag van $ 500 te betalen voor elke vingerafdruk die aan de database van Tsunami wordt toegevoegd. Als het op plug-ins aankomt, wordt er tot $3133 aangeboden, afhankelijk van de ernst van een kwetsbaarheid en of deze al dan niet opduikt.
.Vorige en gerelateerde berichtgeving
HackerOne breidt Internet Bug Bounty-project uit om open source bugs aan te pakken
Google kondigt nieuw bug bounty-platform aan
The Graph Foundation lanceert bug bounty-programma
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 