Google lanserer nytt belønningsprogram for Tsunami Security Scanner

0
106

 Charlie Osborne

Av Charlie Osborne for Zero Day | 29. september 2021 | Tema: Sikkerhet

Google har lansert et nytt utviklingsprogram rettet mot Tsunami Security Scanner.

28. september sa Guoli Ma, Sebastian Lekies og Claudio Criscione, medlemmer av Googles sårbarhetsstyringsteam, i et blogginnlegg at det nye programmet er designet for å forbedre Tsunamis sikkerhetsdeteksjon.

Tsunami Security Scanner , åpen kildekode i juli 2020, var opprinnelig et internt Google -verktøy og har siden blitt publisert og gjort tilgjengelig for allmennheten.

Skanneren er designet for å kontrollere store bedriftsnettverk for åpne porter og deretter for å kryssjekke sårbarhetseksponeringen basert på de første rekognoseringsresultatene. Plugins kan implementeres av brukere for å se etter spesifikke sikkerhetsfeil. Tsunami kan også sjekke om det er grunnleggende sikkerhetsproblemer, inkludert bruk av svake virksomhetsopplysninger.

Google sier at det nye, eksperimentelle programmet vil gi forskere oppdateringsbelønninger for å lage plugins og applikasjonsfingeravtrykk. Førstnevnte krever at bidragsytere utvikler plugins som kan brukes til forbedret sårbarhetsdeteksjon, mens sistnevnte ber om webapplikasjonsmoduler som kan brukes til å oppdage hylle-apper i et bedriftsnettverk.

Selskapet er mest interessert i feil med høy og kritisk alvor som kan ha virkelige virkninger for virksomhetssikkerheten.

“Sårbarheten bør ha en høy eller kritisk alvorlighetsgrad hvis det allerede er tilordnet en CVE -ID (CVSS -score & gt; = 7.0),” sier Google. “Hvis det ikke er tilordnet noen alvorlighetsgrad ennå, vil Tsunami -skannerteamet utføre triagen og bestemme alvorlighetsgraden. Dette inkluderer vanligvis sårbarheter som Remote Code Executions (RCEs), vilkårlig filopplasting, feilkonfigurasjoner av sikkerhet som resulterer i eksponering av sensitive adminpaneler, og så videre.”

Teknologigiganten sier at Tsunami også trenger flere fingeravtrykkdata for populære webapper som kan inneholde feil som påvirker sikkerheten til et bredere nettverk. Hvis IT -team ikke innser at de er tilstede, kan dette bety at de blir oversett i oppdateringsprosesser.

Bidrag blir overvåket av Googles team for håndtering av sårbarheter.

I juli kunngjorde Google en ny bug bounty -plattform, https://bughunters.google.com. Ressurssenteret samler alle firmaets sårbarhetsbelønningsprogrammer (VRP), inkludert Google, Android, Abuse, Chrome og Play for å effektivisere sårbarhetsprosessen.

Det er på denne plattformen de som er interessert i Tsunami-programmet kan finne in-scope-lister for bidrag til åpen kildekodeverktøy og Tsunami.

Økonomiske belønninger varierer. For fingeravtrykk for nettapplikasjoner er Google villig til å betale et fast gebyr på $ 500 for hvert fingeravtrykk som legges til i Tsunamis database. Når det gjelder plugins, tilbys opptil $ 3 133, avhengig av alvorlighetsgraden av et sårbarhet og om det er fremvoksende eller ikke.

. Tidligere og relatert dekning

HackerOne utvider Internet Bug Bounty -prosjektet for å håndtere åpen kildekode – Google kunngjør ny bug bounty -plattform
The Graph Foundation lanserer bug bounty -program

Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0

Relaterte emner:

Sikkerhet TV Datahåndtering CXO datasentre

Av Charlie Osborne for Zero Day | 29. september 2021 | Tema: Sikkerhet