[[165685]]

【51CTO.com快譯】雖然大多數(shù)管理員完全有能力以手動(dòng)方式執(zhí)行任務(wù)或者編寫腳本以實(shí)現(xiàn)流程自動(dòng)化，但借力于現(xiàn)成工具顯然更具成本效率。與此同時(shí)，擁有超過800個(gè)安全類項(xiàng)目的GitHub則是一座IT管理員不容錯(cuò)過的寶庫(kù)，其中大量工具與框架足以應(yīng)對(duì)惡意軟件分析、滲透測(cè)試、計(jì)算機(jī)與網(wǎng)絡(luò)取證、事件響應(yīng)以及網(wǎng)絡(luò)監(jiān)控等等現(xiàn)實(shí)問題。

在今天的文章中，我們將共同了解那些值得關(guān)注的系統(tǒng)與網(wǎng)絡(luò)保護(hù)方案。

1.滲透測(cè)試

首先來看滲透測(cè)試，這里要提的是Rapid7公司的Metasploit Framework。憑借其豐富的資源庫(kù)，安全專家能夠利用這套方案對(duì)應(yīng)用程序進(jìn)行漏洞檢測(cè)與安全評(píng)估。

此平臺(tái)立足于模塊化結(jié)構(gòu)以實(shí)現(xiàn)廣泛的通用性，包括可接入面向計(jì)算機(jī)、手機(jī)、路由器、交換機(jī)、工業(yè)控制系統(tǒng)以及嵌入式設(shè)備的功能模塊與測(cè)試機(jī)制。另外，Metasploit還支持Windows、Linux、Android以及iOS等平臺(tái)。

Metasploit的功能非常全面，但在滲透測(cè)試方面，我們還可以選擇其他工具，首先是Browser Exploitation Framework (簡(jiǎn)稱BeEF)，這款工具專門面向?yàn)g覽器，可利用客戶端攻擊向量評(píng)估企業(yè)環(huán)境下Web層面的安全水平。

Mimikatz則是另一款滲透工具，允許測(cè)試人員在Windows設(shè)備或者網(wǎng)絡(luò)當(dāng)中獲得立足點(diǎn)。Mimikatz非常強(qiáng)大，允許測(cè)試人員提取純文本密碼、哈希值、PIN碼以及Kerberos ticket等來自內(nèi)存的令牌，同時(shí)可將受感染系統(tǒng)中的證書與對(duì)應(yīng)私鑰導(dǎo)出。Mimikatz可單獨(dú)使用，同時(shí)亦被包含在Metasploit中作為Meterpreter腳本。

2.縱深防御工具

CloudFlare打造的CFSSL堪稱“瑞士軍刀”，其能夠簽署、驗(yàn)證及綁定TLS證書。CFSSL由命令行工具與HTTP API服務(wù)器共同構(gòu)成，允許管理員建立定制化TLS/PKI工具并利用多套簽署密鑰進(jìn)行證書驗(yàn)證。CFSSL還具備一套完整的TLS端點(diǎn)掃描工具，旨在測(cè)試服務(wù)器配置以識(shí)別其中的最新安全漏洞，同時(shí)可傳輸軟件包以實(shí)現(xiàn)證書配置與撤銷。

在軟件開發(fā)流程當(dāng)中，密鑰與密碼等敏感數(shù)據(jù)的泄露可謂屢見不鮮。Gitrob 能夠幫助專家掃描自己的GitHub庫(kù)以找到敏感文件。盡管GitHub內(nèi)置有信息搜索功能，但Gitrob能夠?qū)⑷抗矌?kù)與成員庫(kù)匯總成單一列表以簡(jiǎn)化相關(guān)流程。這款工具可通過列表根據(jù)不同模式匹配文件名稱，找到包含敏感信息的文件。Gitrob還能將全部信息保存在PostgreSQL數(shù)據(jù)庫(kù)中，并通過簡(jiǎn)單的Web應(yīng)用顯示搜索結(jié)果。

Lynis是一款面向Linux、Mac OS X、BSD以及Solaris等Unix類系統(tǒng)的安全審計(jì)與強(qiáng)化工具。它能夠深入掃描并檢測(cè)系統(tǒng)中的問題、存在漏洞的軟件包以及配置設(shè)置，并提出相關(guān)解決建議。作為藍(lán)綠檢測(cè)中藍(lán)色團(tuán)隊(duì)中的常用工具，Lynis能夠輕松實(shí)現(xiàn)安全評(píng)估、合規(guī)性測(cè)試、漏洞檢測(cè)、配置管理以及補(bǔ)丁管理。

國(guó)家安全局的系統(tǒng)完整性管理平臺(tái)(簡(jiǎn)稱SIMP)允許安全團(tuán)隊(duì)針對(duì)網(wǎng)絡(luò)系統(tǒng)定義并應(yīng)用安全策略及標(biāo)準(zhǔn)。各組織可利用這套框架滿足安全合規(guī)要求并自動(dòng)完成日常任務(wù)。SIMP能夠立足于網(wǎng)絡(luò)行為顯示操作軌跡以及安全團(tuán)隊(duì)的工作偏差，用戶需要購(gòu)買紅帽企業(yè)Linux授權(quán)，方可使用。

3.網(wǎng)絡(luò)安全監(jiān)控

Bro Network Security Monitor面向網(wǎng)絡(luò)中的全部設(shè)備實(shí)現(xiàn)可視化，同時(shí)能夠介入網(wǎng)絡(luò)流量并檢查網(wǎng)絡(luò)數(shù)據(jù)包，其分析器則可以檢測(cè)應(yīng)用層。安全專家可利用Bro的特定域名腳本語言創(chuàng)建有針對(duì)性的站點(diǎn)監(jiān)控策略。根據(jù)該項(xiàng)目的官方網(wǎng)站所介紹，Bro適用于各類科學(xué)環(huán)境，例如高校、研究實(shí)驗(yàn)室以及超級(jí)計(jì)算中心等。

OSSEC將基于主機(jī)的入侵檢測(cè)系統(tǒng)與日志監(jiān)控及SIEM(即安全信息與事件管理)功能相結(jié)合，同時(shí)適用于Linux、Mac OS、Solaris、AIX以及Windows等系統(tǒng)平臺(tái)。安全團(tuán)隊(duì)可利用它實(shí)現(xiàn)日志分析、文件完整性檢查、策略監(jiān)控、rootkit檢測(cè)、實(shí)時(shí)報(bào)警與主動(dòng)響應(yīng)等功能。企業(yè)還可通過配置發(fā)送與未授權(quán)文件系統(tǒng)修改及軟件日志內(nèi)惡意行為相關(guān)的警報(bào)，從而滿足合規(guī)性要求。

Moloch是一套大型全數(shù)據(jù)包捕捉式索引與數(shù)據(jù)庫(kù)系統(tǒng)，負(fù)責(zé)實(shí)現(xiàn)事件處理、網(wǎng)絡(luò)安全監(jiān)控及數(shù)字化取證。Moloch允許管理員瀏覽、搜索并導(dǎo)出其捕捉到的全部網(wǎng)絡(luò)流量，其中還包含一款用于數(shù)據(jù)捕捉的單線程C應(yīng)用、一款用于處理用戶界面的Node.js應(yīng)用外加一套Elasticsearch數(shù)據(jù)庫(kù)。

4.事件響應(yīng)與取證

Mozilla Defense Platform (簡(jiǎn)稱MozDef)能夠自動(dòng)實(shí)現(xiàn)事件處理，包括為安全專家提供統(tǒng)一平臺(tái)對(duì)安全事件進(jìn)行實(shí)時(shí)監(jiān)控、響應(yīng)及協(xié)作。MozDef利用Elasticsearch、Meteor以及MongoDB以擴(kuò)展傳統(tǒng)SIEM功能，且屬于Mozilla公司自身所使用的成熟平臺(tái)。

OS X Auditor能夠?qū)?nèi)核擴(kuò)展、系統(tǒng)代理與守護(hù)程序、第三方代理、已下載文件以及當(dāng)前運(yùn)行系統(tǒng)中的已安裝應(yīng)用(或者副本)進(jìn)行解析與散列處理。這款取證工具可提取多種用戶信息，包括隔離文件、瀏覽器歷史記錄與cookie、文件下載、LastSession、HTML 5數(shù)據(jù)庫(kù)與localstore、登錄數(shù)據(jù)、社交與郵件賬戶乃至已保存無線連接等。OS X Auditor還會(huì)驗(yàn)證每個(gè)文件的實(shí)際來源以實(shí)現(xiàn)取證調(diào)查。

作為微軟與Unix系統(tǒng)上的利器，Sleuth Kit允許調(diào)查員識(shí)別并恢復(fù)數(shù)字化證據(jù)，同時(shí)可創(chuàng)建鏡像以實(shí)現(xiàn)事件響應(yīng)。調(diào)查人員能夠分析文件內(nèi)容、自動(dòng)完成具體進(jìn)程并執(zhí)行MD5鏡像完整性檢查。該套件還包含一套庫(kù)與命令行工具，并通過其Autopsy圖形界面進(jìn)行工具訪問。

GRR快速響應(yīng)框架專注于面向Linux、OS X以及Windows客戶端的遠(yuǎn)程實(shí)時(shí)取證。調(diào)查人員可在目標(biāo)系統(tǒng)中安裝Python代理以實(shí)現(xiàn)實(shí)時(shí)遠(yuǎn)程內(nèi)存分析、數(shù)字化證據(jù)收集，并對(duì)CPU、內(nèi)存及I/O使用情況等系統(tǒng)細(xì)節(jié)進(jìn)行監(jiān)控。GRR還利用SleuthKit幫助用戶進(jìn)行原始文件系統(tǒng)訪問。

5.研究工具與漏洞掃描工具

Radare項(xiàng)目是一款面向Android、Linux、BSD、iOS、OS X、Solaris、Haiku、FirefoxOS以及QNX等系統(tǒng)的逆向工程框架與命令行工具，同時(shí)支持32位與64位Windows。該項(xiàng)目最初為取證工具兼腳本化命令行十六進(jìn)制編輯器，但在發(fā)展中逐漸引入了庫(kù)與工具，能夠分析二進(jìn)制文件、拆卸代碼、調(diào)試程序并接入遠(yuǎn)程gdb服務(wù)器。Radare支持多種架構(gòu)類型，包括英特爾、ARM、Sparc以及PowerPC等等。

Brakeman是一款面向Ruby on Rails應(yīng)用的漏洞掃描工具，允許大家對(duì)應(yīng)用進(jìn)行分部數(shù)據(jù)流分析。Brakeman能夠幫助管理員發(fā)現(xiàn)Web應(yīng)用中的SQL注入、SSL驗(yàn)證回避以及信息泄露等漏洞。Brakeman可作為網(wǎng)站安全掃描工具使用。

Quick Android Review Kit (簡(jiǎn)稱Qark)負(fù)責(zé)搜索Android應(yīng)用中的漏洞，包括源代碼與打包APK。該工具能夠識(shí)別出不當(dāng)導(dǎo)出組件、無效x.509證書、數(shù)據(jù)泄露、私鑰嵌入源代碼、密碼強(qiáng)度過低或使用不當(dāng)以及點(diǎn)擊劫持等多種問題。Qark還能夠提供與所發(fā)現(xiàn)漏洞相關(guān)的信息，并創(chuàng)建概念驗(yàn)證APK以證明其發(fā)現(xiàn)結(jié)果。

在惡意軟件分析方面，我們可以選擇Cuckoo Sandbox。這是一套自動(dòng)化動(dòng)態(tài)惡意軟件分析系統(tǒng)，源自2010年谷歌組織的Summer of Code項(xiàng)目。Cuckoo能夠建立隔離的虛擬環(huán)境，并在其中運(yùn)行可疑文件并監(jiān)控其行為。Cuckoo還能夠徹查內(nèi)存并分析數(shù)據(jù)——例如追蹤API調(diào)用并記錄文件的創(chuàng)建與刪除行為——以檢測(cè)可疑文件在系統(tǒng)中的動(dòng)向。

Jupyter并非安全類項(xiàng)目，但其可共享的notebooks則是一款不可或缺的安全工具。安全專家能夠借此共享實(shí)時(shí)代碼、可視化結(jié)果與解釋性文本，另外notebooks還支持嵌入shell。其它值得關(guān)注的項(xiàng)目組件還包括多用戶服務(wù)器Jupyterhub、diff工具、Docker stack以及一套OAuth軟件包。

原文標(biāo)題：19 open source GitHub projects for security pros，作者：Antonio Silveira

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】