19個安全專家一定要關注的開源 GitHub 專案

雖然大多數管理員完全有能力以手動方式執行任務或者編寫指令碼以實現流程自動化，但借力於現成工具顯然更具成本效率。與此同時，擁有超過800個安全類專案的GitHub則是一座IT管理員不容錯過的寶庫，其中大量工具與框架足以應對惡意軟體分析、滲透測試、計算機與網路取證、事件響應以及網路監控等等現實問題。

在今天的文章中，我們將共同瞭解那些值得關注的系統與網路保護方案。

1.滲透測試

首先來看滲透測試，這裡要提的是Rapid7公司的Metasploit Framework。憑藉其豐富的資源庫，安全專家能夠利用這套方案對應用程式進行漏洞檢測與安全評估。

此平臺立足於模組化結構以實現廣泛的通用性，包括可接入面向計算機、手機、路由器、交換機、工業控制系統以及嵌入式裝置的功能模組與測試機制。另外，Metasploit還支援Windows、Linux、Android以及iOS等平臺。

Metasploit的功能非常全面，但在滲透測試方面，我們還可以選擇其他工具，首先是Browser Exploitation Framework (簡稱BeEF)，這款工具專門面向瀏覽器，可利用客戶端攻擊向量評估企業環境下Web層面的安全水平。

Mimikatz則是另一款滲透工具，允許測試人員在Windows裝置或者網路當中獲得立足點。Mimikatz非常強大，允許測試人員提取純文字密碼、雜湊值、PIN碼以及Kerberos ticket等來自記憶體的令牌，同時可將受感染系統中的證照與對應私鑰匯出。Mimikatz可單獨使用，同時亦被包含在Metasploit中作為Meterpreter指令碼。

2.縱深防禦工具

CloudFlare打造的CFSSL堪稱“瑞士軍刀”，其能夠簽署、驗證及繫結TLS證照。CFSSL由命令列工具與HTTP API伺服器共同構成，允許管理員建立定製化TLS/PKI工具並利用多套簽署金鑰進行證照驗證。CFSSL還具備一套完整的TLS端點掃描工具，旨在測試伺服器配置以識別其中的最新安全漏洞，同時可傳輸軟體包以實現證照配置與撤銷。

在軟體開發流程當中，金鑰與密碼等敏感資料的洩露可謂屢見不鮮。Gitrob 能夠幫助專家掃描自己的GitHub庫以找到敏感檔案。儘管GitHub內建有資訊搜尋功能，但Gitrob能夠將全部公共庫與成員庫彙總成單一列表以簡化相關流程。這款工具可透過列表根據不同模式匹配檔名稱，找到包含敏感資訊的檔案。Gitrob還能將全部資訊儲存在PostgreSQL資料庫中，並透過簡單的Web應用顯示搜尋結果。

Lynis是一款面向Linux、Mac OS X、BSD以及Solaris等Unix類系統的安全審計與強化工具。它能夠深入掃描並檢測系統中的問題、存在漏洞的軟體包以及配置設定，並提出相關解決建議。作為藍綠檢測中藍色團隊中的常用工具，Lynis能夠輕鬆實現安全評估、合規性測試、漏洞檢測、配置管理以及補丁管理。

國家安全域性的系統完整性管理平臺(簡稱SIMP)允許安全團隊針對網路系統定義並應用安全策略及標準。各組織可利用這套框架滿足安全合規要求並自動完成日常任務。SIMP能夠立足於網路行為顯示操作軌跡以及安全團隊的工作偏差，使用者需要購買紅帽企業Linux授權，方可使用。

3.網路安全監控

Bro Network Security Monitor面向網路中的全部裝置實現視覺化，同時能夠介入網路流量並檢查網路資料包，其分析器則可以檢測應用層。安全專家可利用Bro的特定域名指令碼語言建立有針對性的站點監控策略。根據該專案的官方網站所介紹，Bro適用於各類科學環境，例如高校、研究實驗室以及超級計算中心等。

OSSEC將基於主機的入侵檢測系統與日誌監控及SIEM(即安全資訊與事件管理)功能相結合，同時適用於Linux、Mac OS、Solaris、AIX以及Windows等系統平臺。安全團隊可利用它實現日誌分析、檔案完整性檢查、策略監控、rootkit檢測、實時報警與主動響應等功能。企業還可透過配置傳送與未授權檔案系統修改及軟體日誌內惡意行為相關的警報，從而滿足合規性要求。

Moloch是一套大型全資料包捕捉式索引與資料庫系統，負責實現事件處理、網路安全監控及數字化取證。Moloch允許管理員瀏覽、搜尋並匯出其捕捉到的全部網路流量，其中還包含一款用於資料捕捉的單執行緒C應用、一款用於處理使用者介面的Node.js應用外加一套Elasticsearch資料庫。

4.事件響應與取證

Mozilla Defense Platform (簡稱MozDef)能夠自動實現事件處理，包括為安全專家提供統一平臺對安全事件進行實時監控、響應及協作。MozDef利用Elasticsearch、Meteor以及MongoDB以擴充套件傳統SIEM功能，且屬於Mozilla公司自身所使用的成熟平臺。

OS X Auditor能夠對核心擴充套件、系統代理與守護程式、第三方代理、已下載檔案以及當前執行系統中的已安裝應用(或者副本)進行解析與雜湊處理。這款取證工具可提取多種使用者資訊，包括隔離檔案、瀏覽器歷史記錄與cookie、檔案下載、LastSession、HTML 5資料庫與localstore、登入資料、社交與郵件賬戶乃至已儲存無線連線等。OS X Auditor還會驗證每個檔案的實際來源以實現取證調查。

作為微軟與Unix系統上的利器，Sleuth Kit允許調查員識別並恢復數字化證據，同時可建立映象以實現事件響應。調查人員能夠分析檔案內容、自動完成具體程式並執行MD5映象完整性檢查。該套件還包含一套庫與命令列工具，並透過其Autopsy圖形介面進行工具訪問。

GRR快速響應框架專注於面向Linux、OS X以及Windows客戶端的遠端實時取證。調查人員可在目標系統中安裝Python代理以實現實時遠端記憶體分析、數字化證據收集，並對CPU、記憶體及I/O使用情況等系統細節進行監控。GRR還利用SleuthKit幫助使用者進行原始檔案系統訪問。

5.研究工具與漏洞掃描工具

Radare專案是一款面向Android、Linux、BSD、iOS、OS X、Solaris、Haiku、FirefoxOS以及QNX等系統的逆向工程框架與命令列工具，同時支援32位與64位Windows。該專案最初為取證工具兼指令碼化命令列十六進位制編輯器，但在發展中逐漸引入了庫與工具，能夠分析二進位制檔案、拆卸程式碼、除錯程式並接入遠端gdb伺服器。Radare支援多種架構型別，包括英特爾、ARM、Sparc以及PowerPC等等。

Brakeman是一款面向Ruby on Rails應用的漏洞掃描工具，允許大家對應用進行分部資料流分析。Brakeman能夠幫助管理員發現Web應用中的SQL隱碼攻擊、SSL驗證迴避以及資訊洩露等漏洞。Brakeman可作為網站安全掃描工具使用。

Quick Android Review Kit (簡稱Qark)負責搜尋Android應用中的漏洞，包括原始碼與打包APK。該工具能夠識別出不當匯出元件、無效x.509證照、資料洩露、私鑰嵌入原始碼、密碼強度過低或使用不當以及點選劫持等多種問題。Qark還能夠提供與所發現漏洞相關的資訊，並建立概念驗證APK以證明其發現結果。

在惡意軟體分析方面，我們可以選擇Cuckoo Sandbox。這是一套自動化動態惡意軟體分析系統，源自2010年穀歌組織的Summer of Code專案。Cuckoo能夠建立隔離的虛擬環境，並在其中執行可疑檔案並監控其行為。Cuckoo還能夠徹查記憶體並分析資料——例如追蹤API呼叫並記錄檔案的建立與刪除行為——以檢測可疑檔案在系統中的動向。

Jupyter並非安全類專案，但其可共享的notebooks則是一款不可或缺的安全工具。安全專家能夠藉此共享實時程式碼、視覺化結果與解釋性文字，另外notebooks還支援嵌入shell。其它值得關注的專案元件還包括多使用者伺服器Jupyterhub、diff工具、Docker stack以及一套OAuth軟體包。