當(dāng)涉及到檢測、預(yù)防、分析信息安全威脅時，安全團(tuán)隊需要所有能得到的幫助。

[[134260]]

Verizon發(fā)布的2015企業(yè)數(shù)據(jù)泄露調(diào)查解決方案調(diào)查報告顯示，在60%的案例中，攻擊者可以在幾分鐘內(nèi)完成入侵。不幸的是，公司無法提前檢測到這些威脅。Verizon稱之為在攻擊者和防御者之間的“檢測赤字”。

免費(fèi)、便宜、簡單的安全工具是幫助縮小這種差距的途徑之一。我們要求信息安全和網(wǎng)絡(luò)安全專家們列出了他們最喜歡的免費(fèi)安全工具。不出所料，他們的回答包括了前端的漏洞掃描器、事后的惡意軟件觸發(fā)器以及分析工具等。

一旦攻擊者改變他們使用的攻擊工具，安全人員也會相應(yīng)改變自己所使用的安全工具。包括任何可以從公開網(wǎng)站上找得到的工具，以及同樣使用攻擊者們所青睞的滲透測試工具。

沒有人見人愛的完美安全工具，稱手就行”--IDC信息安全分析師羅布·韋斯特維爾特

盡管威脅不斷變化，韋斯特維爾特認(rèn)為安全工具不一定要跟上最新的潮流。“做事件響應(yīng)工作的人們一直鐘愛一些有年頭的工具，他們使用這些工具非常熟練，可以幫助有效的對抗攻擊者。”

下面是一些國外安全專業(yè)人員列出的一些或免費(fèi)或?qū)嵱玫能浖ぞ撸?/p>

網(wǎng)絡(luò)保護(hù)

Team Cymru發(fā)布的多余流量移除服務(wù)(Unwanted Traffic Removal Service，UTRS)可以幫助對抗那些最大型的、最集中的分布式拒絕服務(wù)工具，有助于消除無效的或不必要的接入流量。

基于邊界網(wǎng)關(guān)協(xié)議(BGP)的解決方案將路由器和規(guī)則分配給相應(yīng)網(wǎng)絡(luò)，并只使用那些基于現(xiàn)有及未來流量的審查信息。大多數(shù)具有自治系統(tǒng)編號(ASN)，并在全球路由選擇表中傳遞默認(rèn)路由的網(wǎng)絡(luò)都能夠接收UTRS的BGP信息。

我們的IT部門預(yù)算非常有限，UTRS是我們在攻擊事件中可以立刻上手的工具。”--芝加哥帝博大學(xué)信息安全主管阿琳·耶特尼科夫

漏洞掃描器

Secpod Saner是一個免費(fèi)的漏洞及系統(tǒng)脆弱性掃描器，還可為個人電腦提供修復(fù)功能，在2015年亞洲黑帽子大會上被評為優(yōu)秀安全工具。開發(fā)者表示，反惡意軟件產(chǎn)品的功能通常集中在基于已知的惡意軟件指紋對已被感染的系統(tǒng)進(jìn)行清理。Secpod Saner則會識別在桌面系統(tǒng)、終端用戶應(yīng)用程序上的安全漏洞和錯誤配置，并進(jìn)行主動修復(fù)。而且，它還是一個企業(yè)級的軟件。

紐約一家金融機(jī)構(gòu)的信息安全專家推薦了Rapid7的Nexpose社區(qū)版(Nexpose Community edition)，功能是支持整個漏洞管理過程，包括發(fā)現(xiàn)、檢測、驗證、風(fēng)險分類、影響分析、報告和解決漏洞。這個免費(fèi)軟件會掃描網(wǎng)絡(luò)上的32位IP地址，操作系統(tǒng)和數(shù)據(jù)庫。

Rapid7的小企業(yè)滲透測試軟件Metasploit也有免費(fèi)版。簡單的Web界面可以讓公司安全地模擬網(wǎng)絡(luò)攻擊的情景，并發(fā)現(xiàn)對應(yīng)的安全問題。

密碼管理

雖然密碼管理工具已經(jīng)存在多年，但用戶正在放棄這類軟件，因為它們往往自動性太差，或者難以配置和管理。但新的密碼管理軟件，比如LastPass，更加自動化且易于使用。LastPass提供電腦免費(fèi)版，如果付費(fèi)即可下載智能手機(jī)和平板電腦端的應(yīng)用程序。

它非常直觀，如果密碼庫中有你登錄的網(wǎng)站對應(yīng)的密碼，它會自動發(fā)出通知。

Windows安全

有些時候安全功能就藏在人們眼皮底下。微軟的WSUS和EMET有時候可能會被一些公司高估，但它們的確是不錯的軟件。

EMET可以強(qiáng)迫程序與Windows使用不同的安全機(jī)制。舉例而言，EMET使用幾種不同的存儲器尋址保護(hù)策略，使惡意軟件更難找到用于執(zhí)行的內(nèi)存空間。而且它的證書鎖定方面的高級功能可以幫助防止釣魚攻擊，并可通過組策略對象將EMET配置在企業(yè)環(huán)境中。

根據(jù)Verizon的DBIR 2015報告，絕大多數(shù)的攻擊都是利用那些補(bǔ)丁已經(jīng)發(fā)布數(shù)月的漏洞完成的，所以保持系統(tǒng)更新對于防止漏洞被利用有極大的作用。想要確保設(shè)備以受控且適當(dāng)?shù)姆绞桨惭b更新是巨大的負(fù)擔(dān)，但這完全可以通過正確使用WSUS和組策略來自動完成。而且WSUS還可以推送第三方更新，比如Java、Adobe Flash，并使用不同的開源軟件發(fā)布者。微軟的安全工具都是免費(fèi)許可給Windows軟件或服務(wù)器客戶的。

惡意軟件檢測及分析

佛羅里達(dá)州安全培訓(xùn)公司KnowBe4的聯(lián)合創(chuàng)始人信息安全培訓(xùn)專家斯圖·蘇沃門儲備有兩種免費(fèi)安全工具。

Malwarebytes在應(yīng)對勒索軟件方面表現(xiàn)出色。”--蘇沃門

這個免費(fèi)的掃描器會檢測和清除蠕蟲、木馬、后門、流氓和間諜軟件這類的惡意軟件。高級版中還提供更多的保護(hù)工具，比如實時掃描、自動阻止惡意軟件和網(wǎng)站感染電腦。

ModSercurity是一個開源的網(wǎng)頁應(yīng)用防火墻。它提供的功能包括：Web應(yīng)用實時監(jiān)控、登錄、訪問控制。

將惡意軟件在沙盒中觸發(fā)并進(jìn)行安全分析的事件響應(yīng)團(tuán)隊可能會想嘗試Maltrieve，這是一個免費(fèi)軟件，可以將惡意軟件分析到源代碼級別，以供安全研究所用。“它會解析URL列表，得到惡意軟件的位置信息”，還支持其它診斷和惡意軟件分析工具，蘇沃門說。

安全培訓(xùn)

對那些希望提升滲透測試技術(shù)和知識的公司而言，推薦使用Root the Box開源平臺。這是一個實時的信息安全對抗評分系統(tǒng)，黑客可以通過它磨練自己的技術(shù)。Root the Box試圖將新手和有經(jīng)驗的黑客聯(lián)合在一起，構(gòu)建一個有趣的游戲環(huán)境，并包括一些適用于現(xiàn)實世界的實際挑戰(zhàn)。

這是我最喜歡的免費(fèi)工具，因為它針對的是當(dāng)今最大的威脅——缺乏掌握安全知識的專業(yè)人員”--Silvers信息安全咨詢公司的首席顧問克里斯·席維斯

使用免費(fèi)安全工具的建議

在使用任何免費(fèi)安全工具之前，先咨詢一下安全行業(yè)的同行，并了解這些工具是如何使用的、為什么適合他們。接下來，應(yīng)該看看與這一工具相關(guān)的開發(fā)者社區(qū)活躍度，“如果只有一個開發(fā)者，或者開源項目中積極的貢獻(xiàn)者們只是一個小團(tuán)體，這個工具很可能夭折”，韋斯特維爾特說。

最后，確定這個工具在工作中的實用性。不能因為引入一個新的工具而破壞整個工作流程。否則不僅影響個人的工作，還會進(jìn)一步影響整個團(tuán)隊的運(yùn)作。要多加思考為什么需要這個新的工具，也許引入一項過程改進(jìn)就能解決問題。

威脅環(huán)境是不斷變化的，安全人員必須隨時準(zhǔn)備快速吸收和使用新的工具。因此一個技能高度熟練的安全團(tuán)隊會事半功倍。

我最好的工具是與同事們的關(guān)系，以及我的團(tuán)隊對使用工具進(jìn)行的培訓(xùn)。”--羅布·韋斯特維爾