github上有許多開源項目可供安全專業人士選擇,而且每天都有新的項目出現。不妨将這些項目添加到你的工具庫,讓你工作起來更得心應手。
說到執行正常維護、化解危機或研究新項目,大多數管理者要麼手動執行任務,要麼編寫讓這個過程自動化的腳本。但是那些聰明人在尋找功能強大的工具來完成這項工作。
github上有800多個面向安全的項目,為it管理者和資訊安全專業人士提供了豐富的工具和架構,它們可以用于惡意軟體分析、滲透測試、計算機及網絡驗證分析、事件響應、網絡監控及其他衆多任務。
下面介紹了一些最出色的開源安全項目,負責保護系統和網絡的人都應該仔細看一看。我們按任務性質對它們進行了歸類,以便查閱:
滲透測試
說到滲透測試,隻要看一看rapid7的metasploit架構。有了龐大的漏洞資料庫,安全專業人士可以使用漏洞開發和傳遞系統,搶在攻擊者之前,評估應用程式或網絡的安全性。
該平台用途廣泛,這源自其子產品化結構:插入合适的子產品,就可以測試計算機、手機、路由器、交換機、工業控制系統以及嵌入式裝置。metasploit可以在衆多平台上運作,包括windows、linux、mac、android和ios。
metasploit很全面,不過将其他項目添加到滲透測試工具包中大有助益。不妨看看浏覽器漏洞利用架構,這種滲透測試工具側重于web浏覽器。beef使用用戶端攻擊途徑,評估企業組織是否容易受到基于web的攻擊、攻擊者可能潛入有多深。
mimikatz是一種出色的後滲透(postexploitation)工具,讓滲透測試人員可以在windows機器或網絡上獲得更穩固的立足處。mimikatz功能強大,因為它讓測試人員可以從記憶體提取明文格式的密碼、散列、pin碼和kerberos票證,假冒使用者令牌,并導出存放在被感染系統上的證書和對應私鑰。mimikatz可以作為一款獨立工具來使用,也可以作為一個meterpreter腳本,添加到metasploit中。
縱深防禦工具
cloudflare的cfssl可謂是“瑞士軍刀”,簽名、驗證和綁定tls證書,樣樣在行。cfssl既是一個指令行工具,又是一種http api伺服器系統,讓管理者可以建構自定義tls/pki工具,并運作可以使用多個簽名密鑰的證書管理機構。cfssl還有一個功能全面的tls端點掃描工具,可對照最新的安全漏洞和transport程式包來測試伺服器配置,處理證書配置和吊銷。
無意中暴露密鑰和密碼之類的敏感資料在軟體開發中是個常見問題。gitrob可幫助安全專業人士掃描其github軟體庫,查找敏感檔案。雖然github有内置的搜尋功能可以發現敏感資訊,但是gitrob簡化了這個過程:它可以将企業組織的所有公共軟體庫和成員軟體庫整理成清單。這個工具可以反複查詢該清單,将檔案名與不同模式比對起來,進而找到含有敏感資訊的檔案。gitrob将所有資訊儲存到postgresql資料庫,并在簡單的web應用程式中顯示搜尋結果。
lynis是一種安全審計和加強工具,支援基于unix的系統,比如linux、mac os x、bsd和solaris。除了可以執行縱深安全掃描,發現系統上的問題、易受攻擊的軟體包和配置設定外,lynis還可以建議如何加強系統。lynis經常被藍隊使用,便于安全評估、合規測試、安全漏洞檢查、配置管理和更新檔管理。
美國國家安全局(nsa)的系統完整性管理平台讓安全團隊可以定義安全政策及标準,并運用到聯網系統上。許多企業組織使用該架構來滿足安全合規要求、自動處理操作任務。simp要求企業組織購買必要的red hat enterprise linux許可證,向操作團隊和安全團隊顯示了異常的網絡行為。
網絡安全監控
bro網絡安全監控工具讓防禦人員可以深入了解網絡上的所有機器,還能夠監視網絡流量,分析網絡資料包,讓分析人員可以仔細分析應用層。防禦人員可以使用bro的特定域腳本語言,制定針對特定站點的監控政策。據項目官方網站聲稱,bro主要用于科研環境,比如大學、研究實驗室和超級計算中心。
ossec結合了基于主機的入侵檢測系統和日志監控及siem(安全資訊和事件管理)功能,支援衆多平台,包括linux、mac os、solaris、aix和windows。安全團隊可以使用ossec,用于日志分析、檔案完整性檢查、政策監控、rootkit檢測、實時警報和主動響應。企業組織可以配置ossec,發送未授權檔案系統改動和嵌入在伺服器日志中的惡意行為方面的警報,以滿足合規要求。
moloch是一種大規模的全資料包捕獲、索引和資料庫系統,可以在事件處理、網絡安全監控和數字驗證分析等方面幫助安全團隊。moloch為管理者浏覽、搜尋和導出所有捕獲的網絡流量提供了一種方法,因而可以補充現有的入侵檢測系統。該系統包括捕獲流量資料的單線程c應用程式、處理使用者界面的node.js應用程式和elasticsearch資料庫。
事件響應和驗證分析
mozilla防禦平台為防禦人員提供了一個平台,他們可以實時監控、響應和關聯安全事件,進而使事件處理實作自動化。mozdef使用elasticsearch、meteor和mongodb,借助事件響應和可視化機制,增強siem的傳統功能。mozdef是目前用于mozilla的一種成熟平台。
os x auditor可分析核心擴充、系統代理及背景程式、第三方代理、已下載下傳檔案以及運作系統(或副本)上的已安裝應用程式,并計算散列。這款驗證分析工具可提取衆多使用者資訊,比如隔離的檔案、浏覽器曆史記錄及cookie、下載下傳檔案、lastsession、html5資料庫及本地存儲區、登入資料、社交及電子郵件帳戶,以及儲存的無線連接配接。os x auditor可對照多個來源來核實每個檔案的聲譽,作為驗證分析調查的一個環節。
sleuth kit是為微軟和unix系統定制的,它讓調查人員可以識别并發現來自活動系統的證據,以及作為事件響應一部分而建立的圖像。調查人員可以分析檔案内容、使特定程式實作自動化,并執行md5圖像完整性檢查。該套件更像是一個指令行工具庫,調查人員應使用autopsy(面向sleuth kit的圖形化界面)來通路及使用這些工具。
grr rapid response是一種事件響應架構,專注于對linux、os x和windows用戶端遠端執行實時驗證分析。調查人員将python代理安裝到目标系統上後,可以遠端實時分析記憶體,以便收集用于驗證分析的資料證據,并執行詳細的系統監控,監控cpu、處理器和輸入/輸出使用情況。grr還使用sleuthkit讓調查人員可以通路原始檔案系統。
研究工具和安全漏洞掃描工具
radare項目是一種類似unix的反向工程架構和指令行工具,除了支援32位和64位的windows外,它還支援android、linux、bsd、ios、os x、solaris、haiku、firefoxos和qnx。該項目起初是一種驗證分析工具和可編寫腳本的指令行十六進制編輯工具,不過此後添加了用于分析二進制代碼、反彙編代碼、調試程式以及連接配接到遠端gdb伺服器的庫和工具。radare支援一系列廣泛的架構:基于英特爾的架構、arm、sparc和powerpc等。
brakeman是一種安全漏洞掃描工具,面向ruby on rails應用程式,讓資訊安全專業人士可以分析從應用程式一部分到另一部分的資料流。brakeman可幫助管理者發現web應用程式中的問題,比如sql注入攻擊、ssl驗證旁路以及資訊洩露安全漏洞。brakeman應結合網站安全掃描工具使用。
quick android review kit可查找android應用程式的安全漏洞,或者是源代碼中的漏洞,或者是apk程式包中的漏洞。該工具可以發現諸多問題,比如無意中導出的元件、不合适的x.509證書驗證、資料洩漏、嵌入在源代碼中的私鑰、弱密碼或使用不當的密碼以及觸屏劫持(tap-jacking)等等。qark提供了已發現的安全漏洞性質方面的資訊,還能夠建立可利用這些漏洞的概念證明apk。
惡意軟體分析方面則有cuckoo sandbox,這種自動化惡意軟體動态分析系統始于2010年,當時隻是一個google summer of code項目。cuckoo讓安全團隊可以在隔離的虛拟環境中引爆可疑檔案,并監控因而出現的行為。cuckoo轉儲記憶體并分析資料,比如跟蹤api調用,将建立和删除的所有檔案記入日志,進而确定某個可疑檔案在系統上到底在幹什麼。
jupyter不是一個專門針對安全的項目,但是可以共享的筆記本環境對任何安全工具包來說不可或缺。安全專業人士可以用單個的筆記本環境(随帶嵌入式外殼),共享活動代碼、可視化圖表和說明文本。有額外的工具可以改善該項目,包括jupyterhub、多使用者伺服器、比較工具、docker堆棧和oauth程式包。
====================================分割線================================
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)