其實網上有很多非常實用的免費安全工具,如果要全部介紹這些工具的話,可能一天一夜的時間都不夠。雖然現在也有很多公司會通過試用版軟件來“勾引”用戶去購買他們完整功能的產品,但是目前市面上仍然有很多功能強大的免費安全工具,包括情報工具、在軟件開發階段保證安全性的工具、滲透測試工具和取證工具等等。
工具簡介
威脅情報工具包括AlienVault的Open Threat Exchange(OTX),這個工具實際上是一個計算機安全平臺,它可以收集并共享互聯網威脅情報,類似的平臺還有Hailataxii和Cymon.io等等。除此之外,我們還有很多靜態應用程序安全測試(SAST)工具可供選擇,開發人員可以用這些工具來測試采用不同編程語言(C/C++、Ruby on Rails或Python等)開發的軟件。就滲透測試而言,我們通常選擇使用Nmap安全掃描工具和Wireshark網絡協議分析工具。專門的分析取證產品包括GRR遠程取證框架、Autopsy和SleuthKit等,這些工具可以對硬盤驅動器和智能手機進行取證分析,而Volatility Foundation的開源框架則可以對系統內存進行取證分析。
威脅情報工具
安全廠商可以對威脅情報進行分析,并為相應的威脅信息創建簽名,而他們的安全檢測工具就可以利用這些簽名數據來檢測安全威脅了。AlienVault的Open Threat Exchange(OTX)平臺可以收集并與社區共享互聯網威脅情報信息,這個項目目前總共有來自140個國家的47000多名參與者,這些參與者每天都會貢獻超過4百萬個威脅情報標識。當新型威脅出現時,這種形式的資源共享可以幫助企業和安全廠商快速地對這些安全威脅進行識別和響應。
CyTech Services的首席執行官Ben Cotton(注冊信息系統安全專家,CISSP)也表示:
“AlienVault的OTX平臺在共享威脅情報標識(IoC)方面做得非常的好。安全產品可以通過OTX所提供的IoC來增強自身的檢測能力,并更好地檢測新型的安全威脅。”
eSentire的Cymon.io同樣也提供了大量免費的威脅情報信息,根據其官網所提供的數據,當社區成員發現了新的惡意活動或病毒感染源,他們便會立刻將相應的標識添加到Cymon.io的數據庫中。
Cymon每天都會從180個不同的領域來獲取安全威脅情報信息,這些領域包括公共產業、政府機構、以及商業威脅情報來源(例如VirusTotal、Phishtank、blacklists以及各大反病毒廠商的安全報告)等等。Cymon可以利用這些威脅情報來追蹤惡意軟件、網絡釣魚、僵尸網絡、以及垃圾郵件等惡意活動,Cymon的數據庫每天都會新增超過2萬個獨立的IP地址,到目前為止,Cymon總共有超過6百萬個登陸IP,并且記錄了超過3370萬次安全事件。
Cotton還表示:
“在我看來,除了OTX之外,Hailataxii.com也是一個非常棒的開源威脅情報資源庫。但Cymon.io同樣做得非常好,我認為作為一個威脅情報共享平臺來說,它與AlienVault的OTX和Hailataxii一樣的優秀。”
在軟件開發階段增強安全性的工具
現在也有很多靜態應用程序安全測試(SAST)工具可供廣大開發人員使用,開發人員可以在軟件的編碼階段利用這些工具來測試自己所編寫的軟件安全性是否到位。Cigital的資深安全顧問Meera Subbarao認為:“目前世界上最為流行的JavaSAST工具就是FindBugs和PMD了。這些SAST工具大多都可以以插件的形式添加到開發人員所使用的IDE內,這樣就可以更好地幫助他們在開發應用程序的過程中保證編碼的安全。當然了,除了針對Java的SAST工具之外,也有很多專為Python、Ruby on Rails、C/C++、JavaScript、以及.NET等編程語言的SAST工具。”
專為滲透測試/滲透測試人員而生的工具
通過對產品進行滲透測試,安全人員可以趕在黑客之前發現產品中存在的安全漏洞。安全專家使用最廣泛的就是開源的Nmap安全掃描器了。Nmap由Gordon Lyon開發,它是一款專業的滲透測試工具,安全研究人員可以使用Nmap來掃描目標主機端口并定位網絡漏洞。Cotton認為:“如果要進行網絡漏洞分析的話,在所有的免費開源掃描工具中Nmap的效率是最高的。唯一不足的是,雖然Nmap可以掃描大型網絡,但是它卻沒有提供與安全事件響應有關的功能。”
Wireshark是一款得到了廣泛使用的網絡協議分析工具,它同樣是一款免費的滲透測試工具。該軟件最初由GeraldCombs負責開發,目前由Riverbed負責維護。Cotton表示:“Wireshark可能是目前最好的網絡數據包嗅探工具了。但是,Wireshark并不支持掃描文件大小超過100MB的數據包。”
分析取證工具
企業可以利用取證工具來調查過去所發生的或正在發生的安全事件。Google的GRR遠程取證框架(免費,開源)提供了實時事件響應服務,我們可以通過GRR的python代理來與GRR的python服務器進行實時交互來獲取這項服務。你可以在Windows、Linux、以及macOS系統中使用GRR代理,并對系統內存數據進行取證和分析。同樣的,雖然它是一款非常優秀的工具,但是當GRR用于企業環境中時,其擴展性方面的問題就會暴露出來。Cotton認為:“一般來說,我們只會用GRR來處理十臺左右的設備。”
通常情況下,我們會拿多種工具來配合使用。取證工具Autopsy和SleuthKit可以對計算機硬盤、智能手機、以及磁盤鏡像進行分析,該產品支持Windows、Linux、以及macOS系統。Cotton說到:“這些工具只能幫助我們對十臺以下的電腦進行分析,而且Autopsy和SleuthKit同樣無法有效地處理大型網絡中的問題。”
還有一款不得不提的內存分析工具,即VolatilityFoundation的開源框架。這款分析取證工具可以通過收集目標主機RAM中的數據來對正在運行中的系統進行剖析。它允許你從Windows系統中收集內存數據,并導出進程、開放端口、以及網絡鏈接相關的數據,所以它可以幫助我們識別內存中正在運行的惡意軟件。
Cotton解釋稱:
“我強烈推薦VolatilityFoundation的這款內存分析開源框架。但它的不足之處在于,當你需要開始分析數據之前,你需要創建當前的內存鏡像,這樣你才可以導出內存數據,并使用Volatility來對目標主機當前的RAM數據進行分析。”
這些免費的安全軟件仍有很長的路要走
本文所列舉出的免費工具幾乎是每一位安全研究人員都使用過的,不僅是因為這些工具在開源軟件項目中都是佼佼者,而且這些工具是全世界任何一個地方的人都可以免費獲取和使用的。你可以使用這些工具來暫時填補企業中的安全空缺,并盡你所能地將組織或自身的安全做到你所能實現的高度。
京公網安備 11010502049343號