漏洞管理公司Rapid7承包了Metasploit項目
網絡漏洞管理公司Rapid7 已承包了Metasploit項目以及當下大受歡迎的Metasploit框架的黑客工具。
這次承包的財務方面的條款還未被披露出來。Rapid7的產品和運營副總裁Corey Thomas 說Metasploit將仍然保持為一個使用免費許可的開源項目,但同時還將有賴于全職開發和品質保證的職員。Metasploit的創建人H.D. Moore和其他幾位重要的貢獻者都加入了Rapid7。
Moore是作為Metasploit的總設計師加入Rapid7的,他監控全程開發并且還作為首席安全官(CSO)負責推進公司的大部分安全和產品戰略。Moore說這次的承包將有益于鞏固這一項目。
他說:“將一件事情作為業余愛好而花時間、人力和資源來運轉它一直是我的夢想。這是種延續我的目標的方式,讓那種技術成為幫助人們使用攻擊代碼測試他們產品的安全性能的貼心伴侶。”
這次承包對項目有益
Moore犧牲了時間——他盡可能地抽時間為這個項目工作——InGuardians的創始人兼高級安全顧問Ed Skoudis說,對這一安全領域來說全職員工和資金的投入是個好消息。
他還說:“我希望這些錢和增加的時間能夠對HD和其他的開發者起到作用,達到改進某些新的令人振奮的Metasploit攻擊測試的穩固性的目的。”
Burton Group的安全和風險管理策略副總裁Eric Maiwald 說,Rapid7將會受益于對這一成熟的攻擊測試平臺和項目組既有的研究成員的引入。
他說“開發團隊已經有了,Rapid7不需要再去構建;他們早已互相熟識并已建立起了一體化的研究團隊。如果他們還能夠繼續維持既有的外部協助,他們將會收獲更多的人力,而不是僅僅在雇傭當下的一群聰明人為他們干活。”
Rapid7 弱點管理解答(NeXpose)的整合
Thomas 說,Rapid7正致力于整合它的NeXpose產品的漏洞評估和Metasploit的攻擊能力以改進風險評分和區分漏洞優先級。
他還說,“NeXpose將融入到Metasploit中,這有助于優化滲透測試者將漏洞數據放入滲透測試平臺的過程,我們正在致力于開發自動操作。”
Skoudis說他希望這一融合會減少漏洞評估掃描帶來的誤報問題。攻擊片段證實了這一漏洞的確存在。此外,這一方式正朝著更好的滲透測試自動化方向邁進。
他還引證了SAINT公司的合并產品,補充說,合并漏洞評估和滲透測試工具是種大趨勢。
他說,“這兩個完全分開的市場現在正趨于合并。結果將會帶來更具能力的產品、更有用的信息、更少的誤報,并且將會使滲透測試人員更好地理解商業風險。”
Burton Group的Maiwald也認為這一融合改進了漏洞掃描的精準性,但是Rapid7必須要做一些相應的工作。
他還說,“他們(Rpaid7)為改進精準性和報告還有更多的工作要做,他們還承認自己在區分優先次序上有更多的工作要做。至于他們如何對發現的漏洞劃分優先次序,在我們看到有顯著的改進之前,還需要一段時間的等待。”
Metasploit框架廣泛地被滲透測試人員所使用。它被用來在遠程機器上開發、測試并且執行攻擊代碼。這個項目提供滲透測試資源以及有關漏洞的信息。
NeXpose通過掃描Web應用程序、網絡、數據庫、操作系統、群件系統(Lotus Notes)以及其他的軟件來查找漏洞、評估風險并推薦補救方式。
當問及Rapid7是否會開發一個Metasploit框架的商業版本以與諸如Immunity 和Core Security公司的商業黑客工具競爭時,Thomas沒有對此表態。
他說,“我們現在有一種更快的方式達到改善穩定性、安裝和組建以及擴展覆蓋面的目的。我們已經和那些對更多的特征和功能感興趣的人們交流過了,他們知道這些改進需要更多的投資并且愿意付費,所以這還有待協調。”
Moore說他過去曾與投資者接洽過,那些投資者們有意將Metasploit轉化為一種商業產品,但是他對此沒有興趣考慮。
他還說,“Rapid7明確表示他們確實在關心這一團體,他們不僅想要為現在的Metasploit擴展天地,還在計劃為NeXpose產品構建一個同樣的團體。”
【編輯推薦】
