開源安全工具已經(jīng)取得了長足的進(jìn)步，并且可以像其他安全工具一樣有效。然而，只使用開源工具可能會有缺點(diǎn)，因此混合模式可能是最好的選擇。

盡管開源工具仍然是許多組織更不可或缺的一部分，但使用開源安全工具(從入侵檢測和防護(hù)到防火墻的開源版本)的使用花費(fèi)了更長的時(shí)間。

[[332194]]

因此，組織能否僅使用開源工具來保護(hù)其運(yùn)營環(huán)境?這個答案是肯定的，但是很復(fù)雜。這取決于組織的IT員工的經(jīng)驗(yàn)，組織愿意花費(fèi)多少費(fèi)用以及對風(fēng)險(xiǎn)的承受能力。

非營利性開放網(wǎng)絡(luò)應(yīng)用程序安全項(xiàng)目(OWASP)基金會全球董事會主席、德勤公司滲透測試高級經(jīng)理Owen Pendlebury說，在大多數(shù)情況下，開源安全工具與專有工具一樣有效或幾乎一樣有效，這是因?yàn)椋c專有工具不同，開源工具是由活躍且參與其中的社區(qū)人員維護(hù)的，其中許多都是專家。

事實(shí)上，開源安全在短時(shí)間內(nèi)取得了長足的進(jìn)步。在過去的十年中，供應(yīng)商聯(lián)合起來促進(jìn)開源安全性，并且經(jīng)常與聯(lián)盟合作。開放網(wǎng)絡(luò)安全聯(lián)盟(OCA)就是其中之一。為了改善網(wǎng)絡(luò)安全生態(tài)系統(tǒng)中的互操作性，開放網(wǎng)絡(luò)安全聯(lián)盟(OCA)在今年2月引入了開放源消息傳遞框架的安全工具，以幫助網(wǎng)絡(luò)安全軟件之間進(jìn)行數(shù)據(jù)和命令共享。還有其他活躍的組織，例如非營利組織和全球CERT社區(qū)，它們正在資助開源安全工具的開發(fā)。

所有這些因素都改變了開源安全格局。還有更多更好的工具，而且將會變得越來越好。

IBM公司安全威脅管理首席架構(gòu)師JasonKeirstead說：“與12或18個月前相比，開源安全工具的數(shù)量和質(zhì)量都看到了相當(dāng)迅速的發(fā)展。而在2到3年前這個答案卻完全不同。”

使用開源安全工具有很多好處。由于它們經(jīng)常受到開發(fā)人員的評審，因此它們會保持更新，并提供完整的文檔。另外，它們往往更靈活，允許IT員工在專有環(huán)境的范圍之外工作。

但這并不總是很順利。例如，組織無法控制修補(bǔ)程序和發(fā)布時(shí)間表，這意味著存在不良行為者入侵的風(fēng)險(xiǎn)。

盡管該代碼通常會被許多人審查，但它仍然可能包含漏洞。實(shí)際上，開源工具與專有工具一樣存在相同類型的漏洞。例如，擁有數(shù)百萬行代碼的龐大代碼庫會使它們難以檢測。Pendlebury指出，漏洞還可以作為不良編碼實(shí)踐的一部分而引入，這些實(shí)踐建立在可能不考慮安全性的情況下開發(fā)的傳統(tǒng)代碼庫基礎(chǔ)上，或者使用已知漏洞或配置錯誤的第三方庫。

而且它并不總是成本最低。盡管開源工具是免費(fèi)的，但這并不意味著沒有成本。重要的是要考慮將工具集成到組織的環(huán)境中并持續(xù)維護(hù)它們所花費(fèi)的時(shí)間。

Keirstead說，“當(dāng)使用純開放源代碼工具時(shí)，實(shí)施者將承擔(dān)很多支持、集成和維護(hù)工作。我們的調(diào)查數(shù)據(jù)表明，網(wǎng)絡(luò)安全團(tuán)隊(duì)雇用的人員進(jìn)行安全操作。如果已經(jīng)使用現(xiàn)有的受支持的商業(yè)工具，想象一下，如果沒有對這些工具的商業(yè)支持，而且這些工具都是基于社區(qū)的，組織必須自己解決，那么會增加大量工作量。”

盡管有很多安全功能是開源工具的理想之選，但選擇它可能需要付出代價(jià)。與臺式機(jī)或端點(diǎn)安全性有關(guān)的任何事情都不是一個良好的選擇。

Pivot Point安全公司安全評估業(yè)務(wù)負(fù)責(zé)人Mike Gargiullo解釋說，“在網(wǎng)絡(luò)上的大多數(shù)其他地方，開源產(chǎn)品和付費(fèi)產(chǎn)品將做大致相同的工作。防火墻或者會讓某人進(jìn)入，或者不會進(jìn)入。入侵防御系統(tǒng)(IPS)會看到某些東西，或者不會看到某物。否則，還有其他安全層可以提供保護(hù)您。但是，當(dāng)今大多數(shù)攻擊都發(fā)生在臺式機(jī)和端點(diǎn)上，通常是用戶單擊某些內(nèi)容或下載某些內(nèi)容時(shí)發(fā)生的。這是一個風(fēng)險(xiǎn)級別的問題。”

選擇什么工具?

但是，在很多地方使用開源安全工具都是有意義的。防火墻就是一個很好的例子。例如，許多中小型公司使用諸如pfSense之類的開源工具。安全信息和事件管理(SIEM)系統(tǒng)(如OSSIM)和日志聚合工具(如Graylog)也是如此。

這些工具確實(shí)可以完成任務(wù)，但是它們并不具備付費(fèi)工具的所有功能。例如，開源防火墻功能完善，但是要獲得儀表板和更多自動化功能，通常需要付費(fèi)的專業(yè)版本。

Gargiullo說：“如果使用開放源代碼安全工具，則必須做更多的工作，所以基本上是把預(yù)算換成實(shí)際操作時(shí)間和配置工作。”

例如，Gargiullo指出了廣受好評的入侵檢測和防御工具OSSEC。雖然該工具非常出色，并具有許多功能，但它需要人工將更改的信息添加到配置文件中。例如，Windows更新將要求某人使用配置文件的正確值來更新配置文件。

如果這一切都不能阻止采用，這可能是開源安全工具比人們想象的要多，因此很難為其組織找到合適的工具。但是，有一些良好的經(jīng)驗(yàn)法則可以遵循。

Keirstead建議說，“這需要大量的研究。首先，需要確保對用例以及要解決的問題有清晰的了解，然后再尋求解決方案。并且由于將負(fù)責(zé)所有的集成、修補(bǔ)、安全性和正常運(yùn)行時(shí)間，因此選擇最簡單的工具來滿足當(dāng)前用例的需求是很有意義的。最后，查看文檔。它應(yīng)該完整的并且最近更新的。

判斷是否找到了一個好的工具的一種方法是它是否提供支持。Gargiullo說，最成功的開源項(xiàng)目的周圍有巨大的支持社區(qū)。

兩全其美的選擇

大多數(shù)公司將開源安全工具與供應(yīng)商工具相結(jié)合和匹配，將會獲得更大的成功。在開源工具上構(gòu)建的供應(yīng)商工具尤其如此。從某種意義上說，這是兩全其美的選擇。

Keirstead說，“這將具有更大的運(yùn)營自由度和獨(dú)立性，以及主要供應(yīng)商的穩(wěn)定支持，這些供應(yīng)商建立在開源基礎(chǔ)上，并將其集成到他們的生態(tài)系統(tǒng)中。”

在大多數(shù)情況下，這取決于組織的IT團(tuán)隊(duì)適應(yīng)什么，必須花費(fèi)多少費(fèi)用，以及能夠承受多少風(fēng)險(xiǎn)。

Gargiullo說，“如果組織擁有一支技術(shù)合理的IT團(tuán)隊(duì)，則可以使用開源工具完成90%或更多的安全配置。從理論上說，可以做到100%，”

Pendlebury說，無論組織選擇開源、混合模式還是專有軟件，最重要的是找到適合這份工作的工具。其關(guān)鍵問題包括：

• 解決方案是否能滿足需求，它是解決方案的主要功能還是次要功能?
• 是否有其他選擇?如果是這樣，他們?nèi)绾闻琶?一一些開源工具的排名超過了私有工具，反之亦然。
• 當(dāng)前版本是否有任何漏洞，如果存在，是否正在制定補(bǔ)救計(jì)劃?
• 管理和維護(hù)該工具的人員配置備要求是什么?

在選擇工具之后，需要確保記錄控制環(huán)境，創(chuàng)建所用庫的日志、訂閱威脅公告和更新并記錄工具的功能，以便安全團(tuán)隊(duì)可以有效地使用它們。Pendlebury說，其他重要任務(wù)包括開發(fā)用于審核和測試軟件、接收漏洞和更新信息，以及向社區(qū)提供反饋，以盡可能保持工具的有效性。