GitHub上的十一款熱門開源安全工具

Paul Krill發表於2014-09-12
惡意軟體分析、滲透測試、計算機取證——GitHub託管著一系列引人注目的安全工具、足以應對各類規模下計算環境的實際需求。

GitHub上的十一款熱門開源安全工具




作為開源開發領域的基石,“所有漏洞皆屬淺表”已經成為一條著名的原則甚至是信條。作為廣為人知的Linus定律,當討論開源模式在安全方面的優勢時,開放程式碼能夠提高專案漏洞檢測效率的理論也被IT專業人士們所普遍接受。

現在,隨著GitHub等高人氣程式碼共享站點的相繼湧現,整個開源行業開始越來越多地幫助其它企業保護自己的程式碼與系統,併為其提供多種多樣的安全工具與框架,旨在完成惡意軟體分析、滲透測試、計算機取證以及其它同類任務。

以下十一個基本安全專案全部立足於GitHub。任何一位對安全程式碼及系統抱有興趣的管理員都有必要對它們加以關注。


Metasploit框架

作為由開源社群及安全企業Rapid7一手推動的專案,Metasploit框架是一套專門用於滲透測試的漏洞開發與交付系統。它的作用類似於一套漏洞庫,能夠幫助管理人員通過定位弱點實現應用程式的安全性評估,並在攻擊者發現這些弱點之前採取補救措施。它能夠被用於對Windows、Linux、Mac、Android、iOS以及其它多種系統平臺進行測試。

“Metasploit為安全研究人員提供了一種途徑,能夠以相對普遍的格式對安全漏洞加以表達,”Rapid7公司工程技術經理Tod Beardsley指出。“我們針對全部裝置型別打造出數千種模組——包括普通計算機、手機、路由器、交換機、工業控制系統以及嵌入式裝置。我幾乎想不出有哪種軟體或者韌體無法發揮Metasploit的出色實用性。”

專案連結:https://github.com/rapid7/metasploit-framework


Brakeman

Brakeman是一款專門面向Ruby on Rails應用程式的漏洞掃描工具,同時也針對程式中一部分數值向另一部分傳遞的流程執行資料流分析。使用者無需安裝整套應用程式堆疊即可使用該軟體,Brakeman締造者兼維護者Justin Collins解釋道。

儘管速度表現還稱不上無與倫比,但Brakeman在大型應用程式掃描方面只需數分鐘、這樣的成績已經超越了“黑盒”掃描工具。雖然最近已經有針對性地作出了修復,但使用者在使用Brakeman時仍然需要留意誤報狀況。Brakeman應該被用於充當網站安全掃描工具。Collins目前還沒有將其擴充至其它平臺的計劃,不過他鼓勵其他開發人員對專案程式碼作出改進。

專案連結:https://github.com/presidentbeef/brakeman


Cuckoo Sandbox

Cuckoo Sandbox是一款自動化動態惡意軟體分析系統,專門用於檢查孤立環境當中的可疑檔案。

“這套解決方案的主要目的是在啟動於Windows虛擬機器環境下之後,自動執行並監控任何給定惡意軟體的異常活動。當執行流程結束之後,Cuckoo會進一步分析收集到的資料並生成一份綜合性報告,用於解釋惡意軟體的具體破壞能力,”專案創始人Claudio Guarnieri表示。

Cuckoo所造成的資料包括本地功能與Windows API呼叫追蹤、被建立及被刪除的檔案副本以及分析機記憶體轉儲資料。使用者可以對該專案的處理與報告機制進行定製,從而將報告內容生成為不同格式,包括JSON與HTML。Cuckoo Sandbox已經於2010年開始成為谷歌程式碼之夏中的專案之一。

專案連結:https://github.com/cuckoobox/cuckoo

 


Moloch

Moloch是一套可擴充套件式IPv4資料包捕捉、索引與資料庫系統,能夠作為簡單的Web介面實現瀏覽、搜尋與匯出功能。它藉助HTTPS與HTTP機制實現密碼支援或者前端Apahce能力,而且無需取代原有IDS引擎。

該軟體能夠儲存並檢索標準PCAP格式下的所有網路流量,並能夠被部署到多種系統之上、每秒流量處理能力也可擴充套件至數GB水平。專案元件包括捕捉、執行單執行緒C語言應用程式、使用者也可以在每臺裝置上執行多個捕捉程式;一套檢視器,這實際是款Node.js應用程式、針對Web介面以及PCAP檔案傳輸;而Elasticsearch資料庫技術則負責搜尋類任務。

專案連結:https://github.com/aol/moloch

 


MozDef: Mozilla防禦平臺

這款Mozilla防禦平臺,也就是MozDef,旨在以自動化方式處理安全事件流程,從而為防禦者帶來與攻擊者相對等的能力:一套實時整合化平臺,能夠實現監控、反應、協作並改進相關保護功能,該專案締造者Jeff Bryner解釋稱。

MozDef對傳統SEIM(即安全資訊與事件管理)功能作出擴充套件,使其具備了協同事件響應、視覺化以及易於整合至其它企業級系統的能力,Bryner指出。它採用Elasticsearch、Meteor以及MongoDB收集大量不同型別的資料,並能夠根據使用者需求以任意方式加以儲存。“大家可以將MozDef視為一套立足於Elasticsearch之上的SIEM層,能夠帶來安全事件響應任務流程,”Bryner表示。該專案於2013年在Mozilla公司內部開始進行概念驗證。

專案連結:https://github.com/jeffbryner/MozDef

 


MIDAS

作為由Etsy與Facebook雙方安全團隊協作打造的產物,MIDAS是一套專門針對Mac裝置的入侵檢測分析系統框架(即Mac intrusion detection analysis systems,縮寫為MIDASes)。這套模組框架提供輔助工具及示例模型,能夠對OS X系統駐留機制中出現的修改活動進行檢測。該專案基於《自制防禦安全》與《攻擊驅動防禦》兩份報告所闡述的相關概念。

“我們釋出這套框架的共同目標在於促進這一領域的探討熱情,併為企業使用者提供解決方案雛形、從而對OS X終端當中常見的漏洞利用與駐留模式加以檢測,”Etsy與Facebook雙方安全團隊在一份說明文件中指出。MIDAS使用者能夠對模組的主機檢查、驗證、分析以及其它針對性操作進行定義。

專案連結:https://github.com/etsy/MIDAS

 


Bro

Bro網路分析框架“與大多數人所熟知的入侵檢測機制存在著本質區別,”Bro專案首席開發者兼加州伯克利大學國際電腦科學協會高階研究員Robin Sommer指出。

儘管入侵檢測系統通常能夠切實匹配當前存在的各類攻擊模式,但Bro是一種真正的程式語言,這使其相較於那些典型系統更為強大,Sommer表示。它能夠幫助使用者立足於高語義層級執行任務規劃。

Bro的目標在於搜尋攻擊活動並提供其背景資訊與使用模式。它能夠將網路中的各裝置整理為視覺化圖形、深入網路流量當中並檢查網路資料包;它還提供一套更具通用性的流量分析平臺。

專案連結:https://github.com/bro/bro

 


OS X Auditor

OS X Auditor是一款免費計算機取證工具,能夠對執行系統之上或者需要分析的目標系統副本當中的偽跡進行解析與雜湊處理。包括核心擴充套件、系統與第三方代理及後臺程式、不適用的系統以及第三方啟動項、使用者下載檔案外中已安裝代理。使用者的受隔離檔案則可以提取自Safari歷史記錄、火狐瀏覽器cookies、Chrome歷史記錄、社交與郵件賬戶以及受審計系統中的Wi-Fi訪問點。

專案連結:https://github.com/jipegit/OSXAuditor

 


The Sleuth Kit

The Sleuth Kit是一套庫與多種命令列工具集合,旨在調查磁碟映象,包括各分卷與檔案系統資料。該套件還提供一款外掛框架,允許使用者新增更多模組以分析檔案內容並建立自動化系統。

作為針對微軟及Unix系統的工具組合,Sleuth Kit允許調查人員從映象當中識別並恢復出事件響應過程中或者自生系統內的各類證據。在Sleuth Kit及其它工具之上充當使用者介面方案的是Autopsy,這是一套數字化取證平臺。“Autopsy更側重於面向使用者,”Sleuth Kit與Autopsy締造者Brian Carrier指出。“The Sleuth Kit更像是一整套能夠為大家納入自有工具的庫,只不過使用者無需對該訓加以直接使用。”

專案連結:https://github.com/sleuthkit/sleuthkit

 


OSSEC

基於主機的入侵檢測系統OSSEC能夠實現日誌分析、檔案完整性檢查、監控以及報警等功能,而且能夠順利與各種常見作業系統相對接,包括Linux、Mac OS X、Solaris、AIX以及Windows。

OSSEC旨在幫助企業使用者滿足合規性方面的各類要求,包括PCI與HIPAA,而且能夠通過配置在其檢測到未經授權的檔案系統修改或者嵌入至軟體及定製應用日誌檔案的惡意活動時發出警報。一臺中央管理伺服器負責執行不同作業系統之間的策略管理任務。OSSEC專案由Trend Micro公司提供支援。

專案連結:https://github.com/ossec/ossec-hids

 


PassiveDNS

PassiveDNS能夠以被動方式收集DNS記錄,從而實現事故處理輔助、網路安全監控以及數字取證等功能。該軟體能夠通過配置讀取pcap(即資料包捕捉)檔案並將DNS資料輸出為日誌檔案或者提取來自特定介面的資料流量。

這款工具能夠作用於IPv4與IPv6流量、在TCP與UDP基礎上實現流量解析並通過快取記憶體內DNS資料副本的方式在限制記錄資料量的同時避免給取證工作帶來任何負面影響。

專案連結:https://github.com/gamelinux/passivedns

英文原文:http://www.infoworld.com/slideshow/163151/11-open-source-security-tools-catching-fire-github-249652
相關閱讀
評論(2)

相關文章