開源工具是網(wǎng)絡(luò)安全發(fā)展的核心動力之一，除了商業(yè)安全產(chǎn)品中使用的大量開源代碼外，網(wǎng)絡(luò)安全行業(yè)大量網(wǎng)絡(luò)安全框架、工具、方法、模型甚至情報都以開源方式分享和發(fā)展。開源安全項目對于推動網(wǎng)絡(luò)安全技術(shù)的創(chuàng)新和標(biāo)準(zhǔn)化正發(fā)揮著越來越重要的作用。

以下，我們整理了近年來發(fā)布的30個不容錯過的優(yōu)秀開源安全項目，覆蓋大語言模型安全、滲透測試、漏洞掃描和網(wǎng)絡(luò)監(jiān)控、加密和事件響應(yīng)的各個領(lǐng)域，可幫助個人和企業(yè)在新的一年中更好地保護(hù)其數(shù)字資產(chǎn)：

AI安全

LLM Guard：可用于生產(chǎn)環(huán)境的大語言模型開源安全工具

LLM Guard是一個保護(hù)和強化大型語言模型(LLM)安全性的開源工具包，專為在生產(chǎn)環(huán)境中集成和部署而設(shè)計。LLM Guard為大語言模型的輸入和輸出內(nèi)容提供了全面的評估和保護(hù)功能，包括清理、有害語言和數(shù)據(jù)泄漏檢測以及防止提示注入和越獄攻擊。

LLM Guard可用于防護(hù)和強化任何應(yīng)用于生產(chǎn)環(huán)境的大語言模型，包括ChatGPT、Claude、Bard等基礎(chǔ)模型。

地址：https://github.com/laiyer-ai/llm-guard

Vigil：開源LLM安全掃描器

Vigil是一款開源安全掃描程序，可檢測提示注入、越獄以及對大型語言模型(LLM)的其他潛在威脅。該工具還提供自托管所需的檢測簽名和數(shù)據(jù)集。

地址：https://github.com/deadbits/vigil-llm

滲透測試

SessionProbe：開源多線程滲透測試工具

SessionProbe是一款多線程滲透測試工具，旨在評估Web應(yīng)用程序中的用戶權(quán)限。它獲取用戶的會話令牌并檢查URL列表（如果可以訪問），突出顯示潛在的授權(quán)問題。它可以刪除重復(fù)的URL列表并提供實時日志記錄和進(jìn)度跟蹤。

地址：https://github.com/dub-flow/sessionprobe

BloodHound CE 5.0

SpecterOps發(fā)布的BleedHound CE（社區(qū)版）5.0版本是一種免費的開源滲透測試解決方案，可映射Microsoft Active Directory (AD)和Azure（包括Azure AD/Entra ID）環(huán)境中的攻擊路徑。

新版BloodHound CE增加了許多企業(yè)級可用性功能，例如容器化部署、REST API、用戶管理和訪問控制。它還顯著提高了性能，簡化了開發(fā)，從而加快了開發(fā)速度。

地址：https://github.com/BloodHoundAD

GOAD：用于練習(xí)攻擊技術(shù)的Active Directory實驗環(huán)境

Gameof Active Directory (GOAD)是一個免費的滲透測試實驗室。它為滲透測試人員提供了一個易受攻擊的Active Directory環(huán)境來練習(xí)常見的攻擊方法。

地址：https://github.com/Orange-Cyberdefense/GOAD

紅隊/藍(lán)隊

ATT&CK Navigator

ATT&CK Navigator是ATT&CK矩陣的導(dǎo)航和注釋工具，使用方法類似于Excel。它提供了一種可視化防守覆蓋范圍、以及計劃和跟蹤紅/藍(lán)團(tuán)隊活動和技術(shù)的方法。它還支持用戶操作矩陣單元格，例如添加注釋或顏色編碼。

ATT&CK Navigator的主要功能是創(chuàng)建自定義圖層，提供ATT&CK知識庫的個性化視角。用戶可通過交互方式或編程方式創(chuàng)建圖層，然后使用導(dǎo)航器進(jìn)行可視化。

地址：https://github.com/mitre-attack/attack-navigator

Dismap：資產(chǎn)發(fā)現(xiàn)與識別

Dismap是一個資產(chǎn)發(fā)現(xiàn)和識別工具，支持Web、TCP和UDP等協(xié)議，可檢測各種資產(chǎn)類型，適用于內(nèi)部和外部網(wǎng)絡(luò)。Dismap能協(xié)助紅隊人員識別潛在風(fēng)險資產(chǎn)，并支持藍(lán)隊人員檢測可疑的脆弱資產(chǎn)。

Dismap的指紋規(guī)則庫包含TCP、UDP和TLS協(xié)議指紋，以及4500多個Web指紋規(guī)則。這些規(guī)則有助于識別元素，例如網(wǎng)站圖標(biāo)、正文、標(biāo)題和其他相關(guān)組件。

地址：https://github.com/zhzyker/dismap

Nidhogg：專為紅隊設(shè)計的rootkit

Nidhogg是為紅隊設(shè)計的rootkit，整合多種功能且用戶友好，僅通過一個header文件即可輕松集成到紅隊的C2框架中。

Nidhogg與x64版本的Windows10和Windows11兼容。存儲庫包括一個內(nèi)核驅(qū)動程序和一個用于通信目的的C++頭文件。

地址：https://github.com/Idov31/Nidhogg

RedEye：紅隊分析和報告工具

RedEye是CISA和能源部太平洋西北國家實驗室開發(fā)的開源分析工具。其目的是支持紅隊分析和報告指揮和控制活動。它幫助運營者評估緩解策略，可視化復(fù)雜數(shù)據(jù)，并根據(jù)紅隊評估的結(jié)果做出明智的決策。

該工具旨在解析日志，特別是由Cobalt Strike生成的日志，并以易于理解的用戶友好格式呈現(xiàn)數(shù)據(jù)。用戶可以標(biāo)記工具中顯示的活動并添加注釋，從而增強協(xié)作和分析。RedEye還提供演示模式，允許操作員向利益相關(guān)者展示他們的發(fā)現(xiàn)和工作流程。

地址：https://github.com/cisagov/RedEye

Nemesis：開源攻擊性數(shù)據(jù)富化和分析平臺

Nemesis是一個集中式數(shù)據(jù)處理平臺，可攝取、富化攻擊性安全評估數(shù)據(jù)（即滲透測試和紅隊參與期間收集的數(shù)據(jù)）并對其進(jìn)行分析。

Nemesis旨在自動化操作員在交戰(zhàn)中遇到的許多重復(fù)性任務(wù)，增強操作員的分析能力和集體知識，并創(chuàng)建盡可能多的操作數(shù)據(jù)的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)存儲，以幫助指導(dǎo)未來的研究并促進(jìn)進(jìn)攻性數(shù)據(jù)分析。

地址：https://github.com/SpecterOps/Nemesis

威脅情報

Mosint：開源自動化電子郵件OSINT工具

Mosint是一款用Go編寫的自動化電子郵件OSINT工具，旨在促進(jìn)對目標(biāo)電子郵件的快速高效調(diào)查。它集成了多種服務(wù)，使安全研究人員能夠快速訪問廣泛的信息。

Mosint與其他工具的最重要區(qū)別在于它的速度和集成度。它從多個服務(wù)異步提取數(shù)據(jù)，并且使用簡單。

地址：https://github.com/alpkeskin/mosint

Yeti：開放、分布式、威脅情報存儲庫

Yeti是一個統(tǒng)一平臺，用于整合可觀察數(shù)據(jù)、妥協(xié)指標(biāo)、TTP和威脅相關(guān)知識。它會自動增強可觀察的結(jié)果，例如域解析和IP地理定位，從而節(jié)省您的精力。憑借其基于Bootstrap構(gòu)建的用戶友好界面和機器友好的Web API，Yeti能確保個人和集成工具的流暢交互。

地址：https://github.com/yeti-platform/yeti

SpiderFoot：OSINT自動化工具

SpiderFoot是一個開源情報（OSINT）自動化工具。它與各種數(shù)據(jù)源集成，并采用多種數(shù)據(jù)分析方法，便于對收集的信息進(jìn)行導(dǎo)航。

SpiderFoot集成了嵌入式Web服務(wù)器，可提供用戶友好的基于Web的界面，用戶也可以選擇完全通過命令行進(jìn)行操作。該工具用Python 3編碼，并在MIT許可下發(fā)布。

地址：https://github.com/smicallef/spiderfoot

云原生應(yīng)用安全

CNAPPgoat：開源云原生安全測試工具

CNAPPgoat支持AWS、Azure (Microsoft Entra ID)和GCP平臺，用于評估云原生應(yīng)用程序保護(hù)平臺(CNAPP)的安全功能。能幫助企業(yè)在易于部署和銷毀的交互式沙箱環(huán)境中測試其云安全技能、流程、工具和狀態(tài)。

與其它發(fā)現(xiàn)潛在攻擊路徑的云安全測試工具不同，CNAPPgoat提供了一個龐大且不斷擴展的場景庫。

地址：https://github.com/ermetic-research/cnappgoat.git

K8s安全

k0smotron：開源K8s集群管理

開源解決方案k0smotron適合企業(yè)進(jìn)行生產(chǎn)級K8s集群管理，提供兩個支持選項。

管理平面和工作平面不必在同一基礎(chǔ)設(shè)施提供商上運行，這使得k0smotron成為整合K8s控制平面以實現(xiàn)邊緣、混合和多云部署的理想選擇。此外，這使得將K8s控制平面設(shè)置為臨時Pod成為可能，這些Pod可以隨著工作負(fù)載需求的變化而啟動或關(guān)閉。

地址：https://github.com/k0sproject/k0smotron

Kubescape 3.0提升開源K8s安全性

針對DevSecOps從業(yè)者或平臺工程師的開源Kubernetes安全平臺Kubescape已更新到3.0版本。

Kubescape是第一個用于測試K8s是否按照NSA和CISA的Kubernetes Hardening Guidance中的定義安全部署的工具。用戶可根據(jù)NSA、MITRE、Devops Best等多個框架檢測錯誤配置，還可以創(chuàng)建自己的框架。

最近的調(diào)查顯示,51%的鏡像中存在漏洞,使用kubescape不僅可以掃描容器鏡像中的漏洞，還可以查看kubescape漏洞的嚴(yán)重性和最易受攻擊的圖像，并優(yōu)先修復(fù)它們。

地址：https://github.com/kubescape/kubescape

數(shù)據(jù)安全

Cryptomator：云數(shù)據(jù)客戶端加密

Cryptomator是一個開源跨平臺工具，為存儲在云中的文件提供客戶端加密。

與許多云提供商提供的加密服務(wù)不同（云提供商通常僅在傳輸過程中加密數(shù)據(jù)或保留解密密鑰本身），Cryptomator確保只有用戶擁有其數(shù)據(jù)的密鑰。這種方法可將密鑰被盜、復(fù)制或濫用的風(fēng)險降至最低。

Cryptomator還支持用戶從任何設(shè)備訪問他們的文件。

地址：https://github.com/cryptomator/cryptomator

Tink：Google開發(fā)的加密API

Tink是由Google密碼學(xué)家和安全工程師開發(fā)的開源加密庫，提供安全且用戶友好的API，通過以用戶為中心的設(shè)計方法、嚴(yán)謹(jǐn)?shù)膶崿F(xiàn)和代碼審查以及徹底的測試來最大限度地減少常見錯誤。

Tink專門設(shè)計用于幫助沒有加密背景的用戶安全地執(zhí)行加密任務(wù)，已部署在Google的眾多產(chǎn)品和系統(tǒng)中。

地址：https://github.com/google/tink

事件調(diào)查與響應(yīng)

AWS Kill Switch：開源事件響應(yīng)工具

AWS Kill Switch是一種開源事件響應(yīng)工具，用于在安全事件期間快速鎖定AWS賬戶和IAM角色。當(dāng)攻擊者已經(jīng)獲得IAM角色并觸發(fā)SOC警報時，工程師可以使用此工具（或從該工具借用代碼作為其工具的一部分）分離所有策略并立即刪除角色（注意：刪除策略、刪除角色以及在生產(chǎn)中應(yīng)用SCP可能會破壞應(yīng)用程序）。

地址：https://github.com/secengjeff/awskillswitch

Velociraptor：快速數(shù)字取證和事件響應(yīng)

Velociraptor是一款先進(jìn)的數(shù)字取證和事件響應(yīng)工具，旨在提高用戶對端點活動的洞察力。該工具支持用戶同時跨多個端點精確、快速地收集數(shù)字取證數(shù)據(jù)。

地址：https://github.com/Velocidex/velociraptor

Malwoverview：流行的威脅狩獵工具

Malwoverview是流行的威脅狩獵工具，可用于惡意軟件樣本、URL、IP地址、域、惡意軟件系列、IOC和哈希的初始和快速評估。

它提供了生成動態(tài)和靜態(tài)行為報告的功能，并允許用戶從各種端點提交和下載樣本。Malwoverview還可以充當(dāng)已有沙盒的客戶端，能夠有效分析潛在威脅。

地址：https://github.com/alexandreborges/malwoverview

惡意軟件分析、逆向工程

BinDiff：二進(jìn)制文件的開源比較工具

BinDiff是一個二進(jìn)制文件比較工具，可以快速查找反匯編代碼中的差異和相似之處，可用于識別并隔離供應(yīng)商提供的補丁中的漏洞修復(fù)。您還可以在同一二進(jìn)制文件的多個版本的反匯編之間移植符號和注釋，或使用BinDiff收集代碼盜竊或?qū)＠謾?quán)的證據(jù)。

地址：https://github.com/google/bindiff

ImHex：二進(jìn)制數(shù)據(jù)分析工具

ImHex是一個十六進(jìn)制編輯器：一種顯示、解碼和分析二進(jìn)制數(shù)據(jù)的工具，以對其格式進(jìn)行逆向工程，提取信息或打補丁。

ImHex提供很多高級功能，例如：完全自定義的二進(jìn)制模板和模式語言、用于解碼和突出顯示數(shù)據(jù)中的結(jié)構(gòu)、基于圖形節(jié)點的數(shù)據(jù)處理器、用于在顯示值之前對其進(jìn)行預(yù)處理、反匯編器、差異支持、書簽等等。ImHex在GPLv2許可證下開源。

地址：https://github.com/WerWolv/ImHex

x64dbg：專為Windows設(shè)計的二進(jìn)制調(diào)制器

x64dbg是專為Windows操作系統(tǒng)設(shè)計的開源二進(jìn)制調(diào)試器，側(cè)重于在源代碼不可用時對惡意軟件進(jìn)行分析或?qū)蓤?zhí)行文件進(jìn)行逆向工程。

地址：https://github.com/x64dbg/x64dbg

安全運營管理

Logging Made Easy：：讓日志記錄變得簡單

CISA推出的Logging Made Easy (LME)是一種適用于基于Windows的設(shè)備的簡單日志管理解決方案，可以免費下載和自行安裝。

日志管理對許多目標(biāo)組織來說都是一個沉重的負(fù)擔(dān)，尤其是那些資源有限的組織。CISA的LME是一個交鑰匙解決方案，適合尋求加強網(wǎng)絡(luò)安全同時減輕日志管理負(fù)擔(dān)的公共和私人組織。

地址：https://github.com/cisagov/LME

Wazuh：免費開源XDR和SIEM

Wazuh是一個專為威脅檢測、預(yù)防和響應(yīng)而設(shè)計的開源平臺。它可以保護(hù)本地、虛擬、容器和云設(shè)置中的工作負(fù)載。

Wazuh有兩個主要組件：端點安全代理和管理服務(wù)器。端點安全代理安裝在受監(jiān)視的系統(tǒng)上，并負(fù)責(zé)收集與安全相關(guān)的數(shù)據(jù)。管理服務(wù)器接收代理收集的數(shù)據(jù)并對其執(zhí)行分析。

Wazuh已與Elastic Stack完全集成，提供搜索引擎和數(shù)據(jù)可視化工具。此集成允許用戶瀏覽其安全警報并從收集的數(shù)據(jù)中獲得見解。

地址：https://github.com/wazuh/wazuh

System Informer：多用途系統(tǒng)資源監(jiān)控工具

System Informer是一個免費的多用途工具，能夠監(jiān)控系統(tǒng)資源，調(diào)試軟件和檢測惡意軟件。

它提供以下功能：

• 概覽正在運行的進(jìn)程和資源使用情況
• 詳細(xì)的系統(tǒng)信息和圖表
• 查看和編輯服務(wù)
• 其他一些軟件調(diào)試和分析功能

地址：https://github.com/winsiderss/systeminformer    

Prometheus：強大的數(shù)據(jù)監(jiān)控解決方案

Prometheus是一個功能強大的為數(shù)據(jù)監(jiān)控解決方案，擁有一個大型社區(qū)提供支持，該社區(qū)由來自700多家企業(yè)的6300多位貢獻(xiàn)者組成，代碼提交高達(dá)13500次，pullrequest數(shù)量超過7200次。

Prometheus的功能特點包括：多維數(shù)據(jù)模型（基于時間序列的鍵值對）、靈活的查詢和聚合語言PromQL、提供本地存儲和分布式存儲等。

地址：https://github.com/prometheus/prometheus

Matano：可替代SIEM的安全數(shù)據(jù)湖平臺

Matano是一個開源云原生安全湖平臺，可替代SIEM（安全信息和事件管理）。它可以在AWS平臺上實現(xiàn)大規(guī)模PB級的威脅搜尋、檢測、響應(yīng)和網(wǎng)絡(luò)安全分析。

借助Matano，用戶可以使用基于S3（簡單存儲服務(wù)）或SQS（簡單隊列服務(wù)）的攝取方法來收集數(shù)據(jù)。它帶有預(yù)配置的源，如CloudTrail，Zeek和Okta，并且還會自動從所有SaaS源中檢索日志數(shù)據(jù)。

地址：https://github.com/matanolabs/matano

Faraday：可視化漏洞管理器

Faraday是一個開源漏洞管理器，可幫助安全專業(yè)人員專注于查找漏洞，同時簡化組織他們的工作流程。

Faraday的主要功能之一是能夠聚合和規(guī)范化加載到其中的數(shù)據(jù)。這使管理人員和分析師能夠通過各種可視化來探索數(shù)據(jù)，從而有助于更好地了解漏洞并有助于決策過程。

地址：https://github.com/infobyte/faraday

DNS安全

PolarDNS：專為安全評估量身定制的開源DNS服務(wù)器

PolarDNS是一個專門的權(quán)威DNS服務(wù)器，允許運營商生成適合DNS協(xié)議測試目的的自定義DNS響應(yīng)。

PolarDNS可用于測試：

• DNS解析器（服務(wù)器端）
• DNS客戶端
• DNS庫
• DNS解析器和解析器
• 任何處理DNS信息的軟件

地址：https://github.com/oryxlabs/PolarDNS