作為開源開發領域的基石,“所有漏洞皆屬淺表”已經成為一條著名的原則甚至是信條。作為廣為人知的linus定律,當讨論開源模式在安全方面的優勢時,開放代碼能夠提高項目漏洞檢測效率的理論也被it專業人士們所普遍接受。
惡意軟體分析、滲透測試、計算機驗證——github托管着一系列引人注目的安全工具、足以應對各類規模下計算環境的實際需求。
https://yqfile.alicdn.com/f62324d2e3db7c179f61650e685a51c40b097c27.png
" >
github上的十一款熱門開源安全工具
現在,随着github等高人氣代碼共享站點的相繼湧現,整個開源行業開始越來越多地幫助其它企業保護自己的代碼與系統,并為其提供多種多樣的安全工具與架構,旨在完成惡意軟體分析、滲透測試、計算機驗證以及其它同類任務。
以下十一個基本安全項目全部立足于github。任何一位對安全代碼及系統抱有興趣的管理者都有必要對它們加以關注。
https://yqfile.alicdn.com/bb2e42bb5e29b2a76739baccf83103721c5158d5.png
metasploit架構
作為由開源社群及安全企業rapid7一手推動的項目,metasploit架構是一套專門用于滲透測試的漏洞開發與傳遞系統。它的作用類似于一套漏洞庫,能夠幫助管理人員通過定位弱點實作應用程式的安全性評估,并在攻擊者發現這些弱點之前采取補救措施。它能夠被用于對windows、linux、mac、android、ios以及其它多種系統平台進行測試。
“metasploit為安全研究人員提供了一種途徑,能夠以相對普遍的格式對安全漏洞加以表達,”rapid7公司工程技術經理tod beardsley指出。“我們針對全部裝置類型打造出數千種子產品——包括普通計算機、手機、路由器、交換機、工業控制系統以及嵌入式裝置。我幾乎想不出有哪種軟體或者固件無法發揮metasploit的出色實用性。”
https://yqfile.alicdn.com/9e1ff3a8424c7eed74c9b1ea42f48ac29369b125.png
brakeman
brakeman是一款專門面向ruby on rails應用程式的漏洞掃描工具,同時也針對程式中一部分數值向另一部分傳遞的流程執行資料流分析。使用者無需安裝整套應用程式堆棧即可使用該軟體,brakeman締造者兼維護者justin collins解釋道。
盡管速度表現還稱不上無與倫比,但brakeman在大型應用程式掃描方面隻需數分鐘、這樣的成績已經超越了“黑盒”掃描工具。雖然最近已經有針對性地作出了修複,但使用者在使用brakeman時仍然需要留意誤報狀況。brakeman應該被用于充當網站安全掃描工具。collins目前還沒有将其拓展至其它平台的計劃,不過他鼓勵其他開發人員對項目代碼作出改進。
cuckoo sandbox
cuckoo sandbox是一款自動化動态惡意軟體分析系統,專門用于檢查孤立環境當中的可疑檔案。
“這套解決方案的主要目的是在啟動于windows虛拟機環境下之後,自動執行并監控任何給定惡意軟體的異常活動。當執行流程結束之後,cuckoo會進一步分析收集到的資料并生成一份綜合性報告,用于解釋惡意軟體的具體破壞能力,”項目創始人claudio guarnieri表示。
cuckoo所造成的資料包括本地功能與windows api調用追蹤、被建立及被删除的檔案副本以及分析機記憶體轉儲資料。使用者可以對該項目的處理與報告機制進行定制,進而将報告内容生成為不同格式,包括json與html。cuckoo sandbox已經于2010年開始成為谷歌代碼之夏中的項目之一。
moloch
moloch是一套可擴充式ipv4資料包捕捉、索引與資料庫系統,能夠作為簡單的web界面實作浏覽、搜尋與導出功能。它借助https與http機制實作密碼支援或者前端apahce能力,而且無需取代原有ids引擎。
該軟體能夠存儲并檢索标準pcap格式下的所有網絡流量,并能夠被部署到多種系統之上、每秒流量處理能力也可擴充至數gb水準。項目元件包括捕捉、執行單線程c語言應用程式、使用者也可以在每台裝置上運作多個捕捉程序;一套檢視器,這實際是款node.js應用程式、針對web接口以及pcap檔案傳輸;而elasticsearch資料庫技術則負責搜尋類任務。
https://yqfile.alicdn.com/683530c83020c308ce78ec730c9c1f132c632cfe.png
mozdef: mozilla防禦平台
這款mozilla防禦平台,也就是mozdef,旨在以自動化方式處理安全事件流程,進而為防禦者帶來與攻擊者相對等的能力:一套實時內建化平台,能夠實作監控、反應、協作并改進相關保護功能,該項目締造者jeff bryner解釋稱。
mozdef對傳統seim(即安全資訊與事件管理)功能作出擴充,使其具備了協同僚件響應、可視化以及易于內建至其它企業級系統的能力,bryner指出。它采用elasticsearch、meteor以及mongodb收集大量不同類型的資料,并能夠根據使用者需求以任意方式加以儲存。“大家可以将mozdef視為一套立足于elasticsearch之上的siem層,能夠帶來安全事件響應任務流程,”bryner表示。該項目于2013年在mozilla公司内部開始進行概念驗證。
midas
作為由etsy與facebook雙方安全團隊協作打造的産物,midas是一套專門針對mac裝置的入侵檢測分析系統架構(即mac intrusion detection analysis systems,縮寫為midases)。這套子產品架構提供輔助工具及示例模型,能夠對os x系統駐留機制中出現的修改活動進行檢測。該項目基于《自制防禦安全》與《攻擊驅動防禦》兩份報告所闡述的相關概念。
“我們釋出這套架構的共同目标在于促進這一領域的探讨熱情,并為企業使用者提供解決方案雛形、進而對os x終端當中常見的漏洞利用與駐留模式加以檢測,”etsy與facebook雙方安全團隊在一份說明文檔中指出。midas使用者能夠對子產品的主機檢查、驗證、分析以及其它針對性操作進行定義。
https://yqfile.alicdn.com/a72b737d8689b9122eff04ee30acaf23768224c8.png
bro
bro網絡分析架構“與大多數人所熟知的入侵檢測機制存在着本質差別,”bro項目首席開發者兼加州伯克利大學國際計算機科學協會進階研究員robin sommer指出。
盡管入侵檢測系統通常能夠切實比對目前存在的各類攻擊模式,但bro是一種真正的程式設計語言,這使其相較于那些典型系統更為強大,sommer表示。它能夠幫助使用者立足于高語義層級執行任務規劃。
bro的目标在于搜尋攻擊活動并提供其背景資訊與使用模式。它能夠将網絡中的各裝置整理為可視化圖形、深入網絡流量當中并檢查網絡資料包;它還提供一套更具通用性的流量分析平台。
os x auditor
os x auditor是一款免費計算機驗證工具,能夠對運作系統之上或者需要分析的目标系統副本當中的僞迹進行解析與散列處理。包括核心擴充、系統與第三方代理及背景程式、不适用的系統以及第三方啟動項、使用者下載下傳檔案外中已安裝代理。使用者的受隔離檔案則可以提取自safari曆史記錄、火狐浏覽器cookies、chrome曆史記錄、社交與郵件賬戶以及受審計系統中的wi-fi通路點。
the sleuth kit
the sleuth kit是一套庫與多種指令行工具集合,旨在調查磁盤鏡像,包括各分卷與檔案系統資料。該套件還提供一款插件架構,允許使用者添加更多子產品以分析檔案内容并建立自動化系統。
作為針對微軟及unix系統的工具組合,sleuth kit允許調查人員從鏡像當中識别并恢複出事件響應過程中或者自生系統内的各類證據。在sleuth kit及其它工具之上充當使用者界面方案的是autopsy,這是一套數字化驗證平台。“autopsy更側重于面向使用者,”sleuth kit與autopsy締造者brian carrier指出。“the sleuth kit更像是一整套能夠為大家納入自有工具的庫,隻不過使用者無需對該訓加以直接使用。”
https://yqfile.alicdn.com/4e32246d66ea9e00939120105b02fb54971ff847.png
ossec
基于主機的入侵檢測系統ossec能夠實作日志分析、檔案完整性檢查、監控以及報警等功能,而且能夠順利與各種常見作業系統相對接,包括linux、mac os x、solaris、aix以及windows。
ossec旨在幫助企業使用者滿足合規性方面的各類要求,包括pci與hipaa,而且能夠通過配置在其檢測到未經授權的檔案系統修改或者嵌入至軟體及定制應用日志檔案的惡意活動時發出警報。一台中央管理伺服器負責執行不同作業系統之間的政策管理任務。ossec項目由trend micro公司提供支援。
https://yqfile.alicdn.com/246a51bb44adba044a70fcb1b31214aa8426f3dd.png
passivedns
passivedns能夠以被動方式收集dns記錄,進而實作事故處理輔助、網絡安全監控以及數字驗證等功能。該軟體能夠通過配置讀取pcap(即資料包捕捉)檔案并将dns資料輸出為日志檔案或者提取來自特定接口的資料流量。
這款工具能夠作用于ipv4與ipv6流量、在tcp與udp基礎上實作流量解析并通過緩存記憶體内dns資料副本的方式在限制記錄資料量的同時避免給驗證工作帶來任何負面影響。