網(wǎng)絡(luò)漏洞管理公司Rapid7 已承包了Metasploit項(xiàng)目以及當(dāng)下大受歡迎的Metasploit框架的黑客工具。

這次承包的財(cái)務(wù)方面的條款還未被披露出來。Rapid7的產(chǎn)品和運(yùn)營(yíng)副總裁Corey Thomas 說Metasploit將仍然保持為一個(gè)使用免費(fèi)許可的開源項(xiàng)目，但同時(shí)還將有賴于全職開發(fā)和品質(zhì)保證的職員。Metasploit的創(chuàng)建人H.D. Moore和其他幾位重要的貢獻(xiàn)者都加入了Rapid7。

Moore是作為Metasploit的總設(shè)計(jì)師加入Rapid7的，他監(jiān)控全程開發(fā)并且還作為首席安全官（CSO）負(fù)責(zé)推進(jìn)公司的大部分安全和產(chǎn)品戰(zhàn)略。Moore說這次的承包將有益于鞏固這一項(xiàng)目。

他說：“將一件事情作為業(yè)余愛好而花時(shí)間、人力和資源來運(yùn)轉(zhuǎn)它一直是我的夢(mèng)想。這是種延續(xù)我的目標(biāo)的方式，讓那種技術(shù)成為幫助人們使用攻擊代碼測(cè)試他們產(chǎn)品的安全性能的貼心伴侶?！?/P>

這次承包對(duì)項(xiàng)目有益

Moore犧牲了時(shí)間——他盡可能地抽時(shí)間為這個(gè)項(xiàng)目工作——InGuardians的創(chuàng)始人兼高級(jí)安全顧問Ed Skoudis說，對(duì)這一安全領(lǐng)域來說全職員工和資金的投入是個(gè)好消息。

他還說：“我希望這些錢和增加的時(shí)間能夠?qū)D和其他的開發(fā)者起到作用，達(dá)到改進(jìn)某些新的令人振奮的Metasploit攻擊測(cè)試的穩(wěn)固性的目的?！?/P>

Burton Group的安全和風(fēng)險(xiǎn)管理策略副總裁Eric Maiwald 說，Rapid7將會(huì)受益于對(duì)這一成熟的攻擊測(cè)試平臺(tái)和項(xiàng)目組既有的研究成員的引入。

他說“開發(fā)團(tuán)隊(duì)已經(jīng)有了，Rapid7不需要再去構(gòu)建；他們?cè)缫鸦ハ嗍熳R(shí)并已建立起了一體化的研究團(tuán)隊(duì)。如果他們還能夠繼續(xù)維持既有的外部協(xié)助，他們將會(huì)收獲更多的人力，而不是僅僅在雇傭當(dāng)下的一群聰明人為他們干活?！?/P>

Rapid7 弱點(diǎn)管理解答（NeXpose）的整合

Thomas 說，Rapid7正致力于整合它的NeXpose產(chǎn)品的漏洞評(píng)估和Metasploit的攻擊能力以改進(jìn)風(fēng)險(xiǎn)評(píng)分和區(qū)分漏洞優(yōu)先級(jí)。

他還說，“NeXpose將融入到Metasploit中，這有助于優(yōu)化滲透測(cè)試者將漏洞數(shù)據(jù)放入滲透測(cè)試平臺(tái)的過程，我們正在致力于開發(fā)自動(dòng)操作?！?/P>

Skoudis說他希望這一融合會(huì)減少漏洞評(píng)估掃描帶來的誤報(bào)問題。攻擊片段證實(shí)了這一漏洞的確存在。此外，這一方式正朝著更好的滲透測(cè)試自動(dòng)化方向邁進(jìn)。

他還引證了SAINT公司的合并產(chǎn)品，補(bǔ)充說，合并漏洞評(píng)估和滲透測(cè)試工具是種大趨勢(shì)。

他說，“這兩個(gè)完全分開的市場(chǎng)現(xiàn)在正趨于合并。結(jié)果將會(huì)帶來更具能力的產(chǎn)品、更有用的信息、更少的誤報(bào)，并且將會(huì)使?jié)B透測(cè)試人員更好地理解商業(yè)風(fēng)險(xiǎn)?！?/P>

Burton Group的Maiwald也認(rèn)為這一融合改進(jìn)了漏洞掃描的精準(zhǔn)性，但是Rapid7必須要做一些相應(yīng)的工作。

他還說，“他們（Rpaid7）為改進(jìn)精準(zhǔn)性和報(bào)告還有更多的工作要做，他們還承認(rèn)自己在區(qū)分優(yōu)先次序上有更多的工作要做。至于他們?nèi)绾螌?duì)發(fā)現(xiàn)的漏洞劃分優(yōu)先次序，在我們看到有顯著的改進(jìn)之前，還需要一段時(shí)間的等待?！?/P>

Metasploit框架廣泛地被滲透測(cè)試人員所使用。它被用來在遠(yuǎn)程機(jī)器上開發(fā)、測(cè)試并且執(zhí)行攻擊代碼。這個(gè)項(xiàng)目提供滲透測(cè)試資源以及有關(guān)漏洞的信息。

NeXpose通過掃描Web應(yīng)用程序、網(wǎng)絡(luò)、數(shù)據(jù)庫、操作系統(tǒng)、群件系統(tǒng)（Lotus Notes）以及其他的軟件來查找漏洞、評(píng)估風(fēng)險(xiǎn)并推薦補(bǔ)救方式。

當(dāng)問及Rapid7是否會(huì)開發(fā)一個(gè)Metasploit框架的商業(yè)版本以與諸如Immunity 和Core Security公司的商業(yè)黑客工具競(jìng)爭(zhēng)時(shí)，Thomas沒有對(duì)此表態(tài)。

他說，“我們現(xiàn)在有一種更快的方式達(dá)到改善穩(wěn)定性、安裝和組建以及擴(kuò)展覆蓋面的目的。我們已經(jīng)和那些對(duì)更多的特征和功能感興趣的人們交流過了，他們知道這些改進(jìn)需要更多的投資并且愿意付費(fèi)，所以這還有待協(xié)調(diào)?！?/P>

Moore說他過去曾與投資者接洽過，那些投資者們有意將Metasploit轉(zhuǎn)化為一種商業(yè)產(chǎn)品，但是他對(duì)此沒有興趣考慮。

他還說，“Rapid7明確表示他們確實(shí)在關(guān)心這一團(tuán)體，他們不僅想要為現(xiàn)在的Metasploit擴(kuò)展天地，還在計(jì)劃為NeXpose產(chǎn)品構(gòu)建一個(gè)同樣的團(tuán)體?！?/P>

【編輯推薦】

1. 觀察：網(wǎng)絡(luò)安全中的人為惡意攻擊與漏洞
2. Intel BIOS版本降級(jí)本地特權(quán)提升漏洞
3. Windows內(nèi)核畸形PE文件遠(yuǎn)程拒絕服務(wù)漏洞