?有數(shù)據(jù)顯示，83%的企業(yè)和組織通過(guò)“業(yè)務(wù)上云”，節(jié)省成本、提高效能，但云安全問(wèn)題緊跟而來(lái)。本期推薦的云安全類(lèi)開(kāi)源工具適用于SaaS、PaaS、IaaS等各類(lèi)云服務(wù)模式。

（本文推薦工具僅代表原作者觀點(diǎn)）

1. Wazuh

Wazuh是一個(gè)整合了SIEM、HIDS及XDR的安全防護(hù)平臺(tái)。秉承開(kāi)源精神，Wazuh社區(qū)發(fā)展十分迅速，用戶(hù)可在社區(qū)獲取技術(shù)支持、提交建議和反饋。據(jù)稱(chēng)Wazuh的企業(yè)用戶(hù)超20萬(wàn)家，其中包括一些財(cái)富 100 強(qiáng)的企業(yè)。除了支持本地部署，Wazuh也適用于云環(huán)境，基礎(chǔ)架構(gòu)靈活，可擴(kuò)展性強(qiáng)。

傳送門(mén)：https://wazuh.com/

2. Osquery

Osquery是一個(gè)開(kāi)源的針對(duì)操作系統(tǒng)的監(jiān)控與分析工具，支持像SQL語(yǔ)句一樣查詢(xún)系統(tǒng)的各項(xiàng)指標(biāo)，例如正在運(yùn)行的進(jìn)程、打開(kāi)的網(wǎng)絡(luò)連接、硬件事件、瀏覽器插件等，適用于Windows、MacOS、Linux、FreeBSD，幫助提高系統(tǒng)性能。

Osquery由 Facebook 于2014年創(chuàng)建并投入使用，工程師表示從中受益。Osquery 日志可以捕獲到未知的惡意軟件，但需要另外部署，并借助人力作威脅處置。

傳送門(mén)：https://github.com/osquery/osquery

3. GoAudit

這是一款包含內(nèi)核源碼和監(jiān)控系統(tǒng)調(diào)用兩部分的Linux 審計(jì)系統(tǒng)。監(jiān)控系統(tǒng)調(diào)用是負(fù)責(zé)審計(jì)寫(xiě)入和記錄的用戶(hù)空間保護(hù)進(jìn)程。該工具發(fā)布于2016年，多行日志記錄功能和 JSON Blob分析功能突出。因此，用戶(hù)可通過(guò) Netlink 直接調(diào)用內(nèi)核，并根據(jù)具體業(yè)務(wù)實(shí)現(xiàn)威脅過(guò)濾。

傳送門(mén)：https://github.com/slackhq/go-audit

4. Grapl

Grapl發(fā)布于2022年3月，是一個(gè)具備安全檢測(cè)、事件響應(yīng)和取證的圖形分析平臺(tái)，擅長(zhǎng)收集安全類(lèi)日志并將其轉(zhuǎn)換為子圖，再將子圖合并到 Master Graph 中，還原整個(gè)環(huán)境中的攻擊動(dòng)作。因此Grapl能夠根據(jù)攻擊者意圖作出相應(yīng)的防御，類(lèi)似真人防守。一旦有可疑模式出現(xiàn)，Grapl即啟動(dòng)分析器并展開(kāi)調(diào)查。

傳送門(mén)：https://github.com/grapl-security/grapl

5. OSSEC

OSSEC是發(fā)布于2004年的安全檢測(cè)和監(jiān)控平臺(tái)，也被用作日志分析、web服務(wù)器、防火墻分析等，能夠?qū)崟r(shí)監(jiān)控SIEM平臺(tái)的完整性，適配Microsoft windows、Linux、OpenBSD、FreeBSD、Solaris等環(huán)境。OSSEC有一個(gè)集中管理器，負(fù)責(zé)監(jiān)測(cè)和接收來(lái)自agent的信息。它還可以在對(duì)數(shù)據(jù)庫(kù)、日志、系統(tǒng)審計(jì)、事件等執(zhí)行完整性檢查后存儲(chǔ)文件。

傳送門(mén)：https://github.com/ossec/ossec-hids

6. Suricata

Suricata兼具入侵檢測(cè)、入侵防御和網(wǎng)絡(luò)監(jiān)控功能。2009年發(fā)布時(shí)就有流量監(jiān)控功能，目前能夠做到以10G的速度做到對(duì)大流量的監(jiān)控。另外它還支持文件提取，以及在AWS中配置裸機(jī)和虛擬機(jī)服務(wù)器，實(shí)現(xiàn)流量監(jiān)控功能并發(fā)現(xiàn)高級(jí)威脅。

傳送門(mén)：https://github.com/OISF/suricata

7. Zeek/Bro

和Suricata類(lèi)似，這也是一款流量監(jiān)控工具，能夠發(fā)現(xiàn)異常行為和可疑活動(dòng)，因此它與傳統(tǒng)的基于規(guī)則的IDS有所不同。Zeek支持用戶(hù)查看事前、事中的攻擊活動(dòng)，并具備一定的智能交互功能。Zeek的程序語(yǔ)言可根據(jù)用戶(hù)需求定制，因此能夠通過(guò)一些運(yùn)算符（如 AND、OR、NOT 等）構(gòu)建復(fù)雜的邏輯條件。

傳送門(mén)：https://zeek.org/

8. Panther

Panther是一個(gè)由Airbnb開(kāi)源的自動(dòng)化解決方案，主要功能是彌補(bǔ)傳統(tǒng)SIEM的不足，能夠設(shè)置匹配用戶(hù)實(shí)際的安全檢測(cè)環(huán)境和規(guī)模，實(shí)現(xiàn)集中檢測(cè)。其每一次檢測(cè)都是透明的，既確定了檢測(cè)規(guī)則又能減少誤報(bào)。

Panther能夠自動(dòng)修復(fù)錯(cuò)誤配置，并且允許用戶(hù)存儲(chǔ)一些不希望被損壞的數(shù)據(jù)。Panther 一直使用自己的 AWS 云和 AWS CloudFormation 進(jìn)行部署，能夠確保數(shù)據(jù)由用戶(hù)本身控制。

傳送門(mén)：https://github.com/panther-labs/panther-analysis

9. Kali Linux

Kali Linux是一個(gè)提供網(wǎng)絡(luò)安全實(shí)用程序和滲透測(cè)試工具的開(kāi)源系統(tǒng)。這是少數(shù)專(zhuān)注于黑客攻擊的 Linux 發(fā)行版。在Kali Linux上，用戶(hù)可運(yùn)行 Linux 可執(zhí)行文件，該文件也可在 Windows 10 中執(zhí)行。Kali Linux支持在大部分設(shè)備上安裝，如 Raspberry Pi、Odroid、HP 和 Samsung Chromebook、Beaglebone 等。

傳送門(mén)：https://www.kali.org

10. PacBot

PacBot是一款合規(guī)監(jiān)測(cè)、云安全自動(dòng)化工具。PacBot（Policy as Code Bot——策略即代碼機(jī)器人）根據(jù)策略對(duì)目標(biāo)資源進(jìn)行掃描和評(píng)估。它包含自動(dòng)修復(fù)框架，能夠通過(guò)一些預(yù)定義的行為實(shí)現(xiàn)對(duì)違規(guī)行為的自動(dòng)響應(yīng)和處置。該工具還具備可視化功能，便于用戶(hù)查看合規(guī)情況，并簡(jiǎn)化策略違規(guī)的分析與處置工作。

傳送門(mén)：https://github.com/tmobile/pacbot

參考資料：https://cybersecuritynews.com/opensource-cloud-security-tools/