|
說到執(zhí)行常規(guī)維護、化解危機或研究新項目,大多數(shù)管理員要么手動執(zhí)行任務,要么編寫讓這個過程自動化的腳本。但是那些聰明人在尋找功能強大的工具來完成這項工作。 GitHub上有800多個面向安全的項目,為IT管理員和信息安全專業(yè)人士提供了豐富的工具和框架,它們可以用于惡意軟件分析、滲透測試、計算機及網絡取證分析、事件響應、網絡監(jiān)控及其他眾多任務。 下面介紹了一些最出色的開源安全項目,負責保護系統(tǒng)和網絡的人都應該仔細看一看。我們按任務性質對它們進行了歸類,以便查閱: 滲透測試 說到滲透測試,只要看一看Rapid7的Metasploit框架(https://github.com/rapid7/metasploit-framework)。有了龐大的漏洞資料庫,安全專業(yè)人士可以使用漏洞開發(fā)和交付系統(tǒng),搶在攻擊者之前,評估應用程序或網絡的安全性。 該平臺用途廣泛,這源自其模塊化結構:插入合適的模塊,就可以測試計算機、手機、路由器、交換機、工業(yè)控制系統(tǒng)以及嵌入式設備。Metasploit可以在眾多平臺上運行,包括Windows、Linux、Mac、Android和iOS。 Metasploit很全面,不過將其他項目添加到滲透測試工具包中大有助益。不妨看看瀏覽器漏洞利用框架(BeEF,https://github.com/beefproject/beef),這種滲透測試工具側重于Web瀏覽器。BeEF使用客戶端攻擊途徑,評估企業(yè)組織是否容易受到基于Web的攻擊、攻擊者可能潛入有多深。 Mimikatz(https://github.com/gentilkiwi/mimikatz)是一種出色的后滲透(postexploitation)工具,讓滲透測試人員可以在Windows機器或網絡上獲得更穩(wěn)固的立足處。Mimikatz功能強大,因為它讓測試人員可以從內存提取明文格式的密碼、散列、PIN碼和Kerberos票證,假冒用戶令牌,并導出存放在被感染系統(tǒng)上的證書和對應私鑰。Mimikatz可以作為一款獨立工具來使用,也可以作為一個meterpreter腳本,添加到Metasploit中。 縱深防御工具 CloudFlare的CFSSL(https://github.com/cloudflare/cfssl)可謂是“瑞士軍刀”,簽名、驗證和綁定TLS證書,樣樣在行。CFSSL既是一個命令行工具,又是一種HTTP API服務器系統(tǒng),讓管理員可以構建自定義TLS/PKI工具,并運行可以使用多個簽名密鑰的證書管理機構。CFSSL還有一個功能全面的TLS端點掃描工具,可對照最新的安全漏洞和transport程序包來測試服務器配置,處理證書配置和吊銷。 無意中暴露密鑰和密碼之類的敏感數(shù)據(jù)在軟件開發(fā)中是個常見問題。Gitrob(https://github.com/michenriksen/gitrob)可幫助安全專業(yè)人士掃描其GitHub軟件庫,查找敏感文件。雖然GitHub有內置的搜索功能可以發(fā)現(xiàn)敏感信息,但是Gitrob簡化了這個過程:它可以將企業(yè)組織的所有公共軟件庫和成員軟件庫整理成列表。這個工具可以反復查詢該列表,將文件名與不同模式匹配起來,從而找到含有敏感信息的文件。Gitrob將所有信息保存到PostgreSQL數(shù)據(jù)庫,并在簡單的Web應用程序中顯示搜索結果。 Lynis(https://github.com/CISOfy/lynis)是一種安全審計和加固工具,支持基于Unix的系統(tǒng),比如Linux、Mac OS X、BSD和Solaris。除了可以執(zhí)行縱深安全掃描,發(fā)現(xiàn)系統(tǒng)上的問題、易受攻擊的軟件包和配置設置外,Lynis還可以建議如何加固系統(tǒng)。Lynis經常被藍隊使用,便于安全評估、合規(guī)測試、安全漏洞檢查、配置管理和補丁管理。 美國國家安全局(NSA)的系統(tǒng)完整性管理平臺(SIMP,https://github.com/NationalSecurityAgency/SIMP)讓安全團隊可以定義安全策略及標準,并運用到聯(lián)網系統(tǒng)上。許多企業(yè)組織使用該框架來滿足安全合規(guī)要求、自動處理操作任務。SIMP要求企業(yè)組織購買必要的Red Hat Enterprise Linux許可證,向操作團隊和安全團隊顯示了異常的網絡行為。 網絡安全監(jiān)控 Bro網絡安全監(jiān)控工具(https://github.com/bro/bro)讓防御人員可以深入了解網絡上的所有機器,還能夠監(jiān)視網絡流量,分析網絡數(shù)據(jù)包,讓分析人員可以仔細分析應用層。防御人員可以使用Bro的特定域腳本語言,制定針對特定站點的監(jiān)控策略。據(jù)項目官方網站聲稱,Bro主要用于科研環(huán)境,比如大學、研究實驗室和超級計算中心。 OSSEC(https://github.com/ossec/ossec-hids)結合了基于主機的入侵檢測系統(tǒng)和日志監(jiān)控及SIEM(安全信息和事件管理)功能,支持眾多平臺,包括Linux、Mac OS、Solaris、AIX和Windows。安全團隊可以使用OSSEC,用于日志分析、文件完整性檢查、策略監(jiān)控、rootkit檢測、實時警報和主動響應。企業(yè)組織可以配置OSSEC,發(fā)送未授權文件系統(tǒng)改動和嵌入在服務器日志中的惡意行為方面的警報,以滿足合規(guī)要求。 Moloch(https://github.com/aol/moloch)是一種大規(guī)模的全數(shù)據(jù)包捕獲、索引和數(shù)據(jù)庫系統(tǒng),可以在事件處理、網絡安全監(jiān)控和數(shù)字取證分析等方面幫助安全團隊。Moloch為管理員瀏覽、搜索和導出所有捕獲的網絡流量提供了一種方法,因而可以補充現(xiàn)有的入侵檢測系統(tǒng)。該系統(tǒng)包括捕獲流量數(shù)據(jù)的單線程C應用程序、處理用戶界面的Node.js應用程序和Elasticsearch數(shù)據(jù)庫。 事件響應和取證分析 Mozilla防御平臺(MozDef,https://github.com/mozilla/MozDef)為防御人員提供了一個平臺,他們可以實時監(jiān)控、響應和關聯(lián)安全事件,從而使事件處理實現(xiàn)自動化。MozDef使用Elasticsearch、Meteor和MongoDB,借助事件響應和可視化機制,增強SIEM的傳統(tǒng)功能。MozDef是目前用于Mozilla的一種成熟平臺。 OS X Auditor(https://github.com/jipegit/OSXAuditor)可分析內核擴展、系統(tǒng)代理及后臺程序、第三方代理、已下載文件以及運行系統(tǒng)(或副本)上的已安裝應用程序,并計算散列。這款取證分析工具可提取眾多用戶信息,比如隔離的文件、瀏覽器歷史記錄及cookie、下載文件、LastSession、HTML5數(shù)據(jù)庫及本地存儲區(qū)、登錄數(shù)據(jù)、社交及電子郵件帳戶,以及保存的無線連接。OS X Auditor可對照多個來源來核實每個文件的聲譽,作為取證分析調查的一個環(huán)節(jié)。 Sleuth Kit(https://github.com/sleuthkit/sleuthkit)是為微軟和Unix系統(tǒng)定制的,它讓調查人員可以識別并發(fā)現(xiàn)來自活動系統(tǒng)的證據(jù),以及作為事件響應一部分而創(chuàng)建的圖像。調查人員可以分析文件內容、使特定程序實現(xiàn)自動化,并執(zhí)行MD5圖像完整性檢查。該套件更像是一個命令行工具庫,調查人員應使用Autopsy(面向Sleuth Kit的圖形化界面)來訪問及使用這些工具。 GRR Rapid Response(https://github.com/google/grr)是一種事件響應框架,專注于對Linux、OS X和Windows客戶端遠程執(zhí)行實時取證分析。調查人員將Python代理安裝到目標系統(tǒng)上后,可以遠程實時分析內存,以便收集用于取證分析的數(shù)據(jù)證據(jù),并執(zhí)行詳細的系統(tǒng)監(jiān)控,監(jiān)控CPU、處理器和輸入/輸出使用情況。GRR還使用SleuthKit讓調查人員可以訪問原始文件系統(tǒng)。 研究工具和安全漏洞掃描工具 Radare項目(https://github.com/radare/radare2)是一種類似Unix的反向工程框架和命令行工具,除了支持32位和64位的Windows外,它還支持Android、Linux、BSD、iOS、OS X、Solaris、Haiku、FirefoxOS和QNX。該項目起初是一種取證分析工具和可編寫腳本的命令行十六進制編輯工具,不過此后添加了用于分析二進制代碼、反匯編代碼、調試程序以及連接到遠程gdb服務器的庫和工具。Radare支持一系列廣泛的架構:基于英特爾的架構、ARM、Sparc和PowerPC等。 Brakeman(https://github.com/presidentbeef/brakeman)是一種安全漏洞掃描工具,面向Ruby on Rails應用程序,讓信息安全專業(yè)人士可以分析從應用程序一部分到另一部分的數(shù)據(jù)流。Brakeman可幫助管理員發(fā)現(xiàn)Web應用程序中的問題,比如SQL注入攻擊、SSL驗證旁路以及信息泄露安全漏洞。Brakeman應結合網站安全掃描工具使用。 Quick Android Review Kit(Qark,https://github.com/linkedin/qark)可查找Android應用程序的安全漏洞,或者是源代碼中的漏洞,或者是APK程序包中的漏洞。該工具可以發(fā)現(xiàn)諸多問題,比如無意中導出的組件、不合適的x.509證書驗證、數(shù)據(jù)泄漏、嵌入在源代碼中的私鑰、弱密碼或使用不當?shù)拿艽a以及觸屏劫持(tap-jacking)等等。Qark提供了已發(fā)現(xiàn)的安全漏洞性質方面的信息,還能夠創(chuàng)建可利用這些漏洞的概念證明APK。 惡意軟件分析方面則有Cuckoo Sandbox(https://github.com/cuckoosandbox/cuckoo),這種自動化惡意軟件動態(tài)分析系統(tǒng)始于2010年,當時只是一個Google Summer of Code項目。Cuckoo讓安全團隊可以在隔離的虛擬環(huán)境中引爆可疑文件,并監(jiān)控因而出現(xiàn)的行為。Cuckoo轉儲內存并分析數(shù)據(jù),比如跟蹤API調用,將創(chuàng)建和刪除的所有文件記入日志,從而確定某個可疑文件在系統(tǒng)上到底在干什么。 Jupyter(https://github.com/jupyter)不是一個專門針對安全的項目,但是可以共享的筆記本環(huán)境對任何安全工具包來說不可或缺。安全專業(yè)人士可以用單個的筆記本環(huán)境(隨帶嵌入式外殼),共享活動代碼、可視化圖表和說明文本。有額外的工具可以改善該項目,包括Jupyterhub、多用戶服務器、比較工具、Docker堆棧和OAuth程序包。 比特幣贊助打賞地址:13sbdFRyFBeqmXY9GJQf66s5cwmvLvWaAD ---------------------------------- |
|
|