安全專業人士最愛的19個GitHub開源項目
GitHub上有許多開源項目可供安全專業人士選擇,而且每天都有新的項目出現。不妨將這些項目添加到你的工具庫,讓你工作起來更得心應手。
說到執行常規維護、化解危機或研究新項目,大多數管理員要么手動執行任務,要么編寫讓這個過程自動化的腳本。但是那些聰明人在尋找功能強大的工具來完成這項工作。
GitHub上有800多個面向安全的項目,為IT管理員和信息安全專業人士提供了豐富的工具和框架,它們可以用于惡意軟件分析、滲透測試、計算機及網絡取證分析、事件響應、網絡監控及其他眾多任務。
下面介紹了一些最出色的開源安全項目,負責保護系統和網絡的人都應該仔細看一看。我們按任務性質對它們進行了歸類,以便查閱:
滲透測試
說到滲透測試,只要看一看Rapid7的Metasploit框架(rapid7/metasploit-framework)。有了龐大的漏洞資料庫,安全專業人士可以使用漏洞開發和交付系統,搶在攻擊者之前,評估應用程序或網絡的安全性。
該平臺用途廣泛,這源自其模塊化結構:插入合適的模塊,就可以測試計算機、手機、路由器、交換機、工業控制系統以及嵌入式設備。Metasploit可以在眾多平臺上運行,包括Windows、Linux、Mac、Android和iOS。
Metasploit很全面,不過將其他項目添加到滲透測試工具包中大有助益。不妨看看瀏覽器漏洞利用框架(BeEF,beefproject/beef),這種滲透測試工具側重于Web瀏覽器。BeEF使用客戶端攻擊途徑,評估企業組織是否容易受到基于Web的攻擊、攻擊者可能潛入有多深。
Mimikatz(entilkiwi/mimikatz)是一種出色的后滲透(postexploitation)工具,讓滲透測試人員可以在Windows機器或網絡上獲得更穩固的立足處。Mimikatz功能強大,因為它讓測試人員可以從內存提取明文格式的密碼、散列、PIN碼和Kerberos票證,假冒用戶令牌,并導出存放在被感染系統上的證書和對應私鑰。Mimikatz可以作為一款獨立工具來使用,也可以作為一個meterpreter腳本,添加到Metasploit中。
縱深防御工具
CloudFlare的CFSSL(cloudflare/cfssl)可謂是“瑞士軍刀”,簽名、驗證和綁定TLS證書,樣樣在行。CFSSL既是一個命令行工具,又是一種HTTP API服務器系統,讓管理員可以構建自定義TLS/PKI工具,并運行可以使用多個簽名密鑰的證書管理機構。CFSSL還有一個功能全面的TLS端點掃描工具,可對照最新的安全漏洞和transport程序包來測試服務器配置,處理證書配置和吊銷。
無意中暴露密鑰和密碼之類的敏感數據在軟件開發中是個常見問題。Gitrob(michenriksen/gitrob)可幫助安全專業人士掃描其GitHub軟件庫,查找敏感文件。雖然GitHub有內置的搜索功能可以發現敏感信息,但是Gitrob簡化了這個過程:它可以將企業組織的所有公共軟件庫和成員軟件庫整理成列表。這個工具可以反復查詢該列表,將文件名與不同模式匹配起來,從而找到含有敏感信息的文件。Gitrob將所有信息保存到PostgreSQL數據庫,并在簡單的Web應用程序中顯示搜索結果。
Lynis(CISOfy/lynis)是一種安全審計和加固工具,支持基于Unix的系統,比如Linux、Mac OS X、BSD和Solaris。除了可以執行縱深安全掃描,發現系統上的問題、易受攻擊的軟件包和配置設置外,Lynis還可以建議如何加固系統。Lynis經常被藍隊使用,便于安全評估、合規測試、安全漏洞檢查、配置管理和補丁管理。
美國國家安全局(NSA)的系統完整性管理平臺(SIMP, NationalSecurityAgency/SIMP)讓安全團隊可以定義安全策略及標準,并運用到聯網系統上。許多企業組織使用該框架來滿足安全合規要求、自動處理操作任務。SIMP要求企業組織購買必要的Red Hat Enterprise Linux許可證,向操作團隊和安全團隊顯示了異常的網絡行為。
網絡安全監控
Bro網絡安全監控工具(bro/bro)讓防御人員可以深入了解網絡上的所有機器,還能夠監視網絡流量,分析網絡數據包,讓分析人員可以仔細分析應用層。防御人員可以使用Bro的特定域腳本語言,制定針對特定站點的監控策略。據項目官方網站聲稱,Bro主要用于科研環境,比如大學、研究實驗室和超級計算中心。
OSSEC(ossec/ossec-hids)結合了基于主機的入侵檢測系統和日志監控及SIEM(安全信息和事件管理)功能,支持眾多平臺,包括Linux、Mac OS、Solaris、AIX和Windows。安全團隊可以使用OSSEC,用于日志分析、文件完整性檢查、策略監控、rootkit檢測、實時警報和主動響應。企業組織可以配置OSSEC,發送未授權文件系統改動和嵌入在服務器日志中的惡意行為方面的警報,以滿足合規要求。
Moloch(aol/moloch)是一種大規模的全數據包捕獲、索引和數據庫系統,可以在事件處理、網絡安全監控和數字取證分析等方面幫助安全團隊。Moloch為管理員瀏覽、搜索和導出所有捕獲的網絡流量提供了一種方法,因而可以補充現有的入侵檢測系統。該系統包括捕獲流量數據的單線程C應用程序、處理用戶界面的Node.js應用程序和Elasticsearch數據庫。
事件響應和取證分析
Mozilla防御平臺(MozDef, mozilla/MozDef)為防御人員提供了一個平臺,他們可以實時監控、響應和關聯安全事件,從而使事件處理實現自動化。MozDef使用Elasticsearch、Meteor和MongoDB,借助事件響應和可視化機制,增強SIEM的傳統功能。MozDef是目前用于Mozilla的一種成熟平臺。
OS X Auditor( jipegit/OSXAuditor)可分析內核擴展、系統代理及后臺程序、第三方代理、已下載文件以及運行系統(或副本)上的已安裝應用程序,并計算散列。這款取證分析工具可提取眾多用戶信息,比如隔離的文件、瀏覽器歷史記錄及cookie、下載文件、LastSession、HTML5數據庫及本地存儲區、登錄數據、社交及電子郵件帳戶,以及保存的無線連接。OS X Auditor可對照多個來源來核實每個文件的聲譽,作為取證分析調查的一個環節。
Sleuth Kit(sleuthkit/sleuthkit)是為微軟和Unix系統定制的,它讓調查人員可以識別并發現來自活動系統的證據,以及作為事件響應一部分而創建的圖像。調查人員可以分析文件內容、使特定程序實現自動化,并執行MD5圖像完整性檢查。該套件更像是一個命令行工具庫,調查人員應使用Autopsy(面向Sleuth Kit的圖形化界面)來訪問及使用這些工具。
GRR Rapid Response(google/grr)是一種事件響應框架,專注于對Linux、OS X和Windows客戶端遠程執行實時取證分析。調查人員將Python代理安裝到目標系統上后,可以遠程實時分析內存,以便收集用于取證分析的數據證據,并執行詳細的系統監控,監控CPU、處理器和輸入/輸出使用情況。GRR還使用SleuthKit讓調查人員可以訪問原始文件系統。
研究工具和安全漏洞掃描工具
Radare項目(radare/radare2)是一種類似Unix的反向工程框架和命令行工具,除了支持32位和64位的Windows外,它還支持Android、Linux、BSD、iOS、OS X、Solaris、Haiku、FirefoxOS和QNX。該項目起初是一種取證分析工具和可編寫腳本的命令行十六進制編輯工具,不過此后添加了用于分析二進制代碼、反匯編代碼、調試程序以及連接到遠程gdb服務器的庫和工具。Radare支持一系列廣泛的架構:基于英特爾的架構、ARM、Sparc和PowerPC等。
Brakeman(presidentbeef/brakeman)是一種安全漏洞掃描工具,面向Ruby on Rails應用程序,讓信息安全專業人士可以分析從應用程序一部分到另一部分的數據流。Brakeman可幫助管理員發現Web應用程序中的問題,比如SQL注入攻擊、SSL驗證旁路以及信息泄露安全漏洞。Brakeman應結合網站安全掃描工具使用。
Quick Android Review Kit(Qark, linkedin/qark)可查找Android應用程序的安全漏洞,或者是源代碼中的漏洞,或者是APK程序包中的漏洞。該工具可以發現諸多問題,比如無意中導出的組件、不合適的x.509證書驗證、數據泄漏、嵌入在源代碼中的私鑰、弱密碼或使用不當的密碼以及觸屏劫持(tap-jacking)等等。Qark提供了已發現的安全漏洞性質方面的信息,還能夠創建可利用這些漏洞的概念證明APK。
惡意軟件分析方面則有Cuckoo Sandbox(cuckoosandbox/cuckoo),這種自動化惡意軟件動態分析系統始于2010年,當時只是一個Google Summer of Code項目。Cuckoo讓安全團隊可以在隔離的虛擬環境中引爆可疑文件,并監控因而出現的行為。Cuckoo轉儲內存并分析數據,比如跟蹤API調用,將創建和刪除的所有文件記入日志,從而確定某個可疑文件在系統上到底在干什么。
Jupyter(Project Jupyter)不是一個專門針對安全的項目,但是可以共享的筆記本環境對任何安全工具包來說不可或缺。安全專業人士可以用單個的筆記本環境(隨帶嵌入式外殼),共享活動代碼、可視化圖表和說明文本。有額外的工具可以改善該項目,包括Jupyterhub、多用戶服務器、比較工具、Docker堆棧和OAuth程序包。
本文轉自:云頭條