企業依靠一種開源安全工具保護自身往往并不是一個好主意，因為與所有開源產品一樣，攻擊者可以獲取這個相同的工具，找到其漏洞并利用它們來攻擊企業。為了讓攻擊者更難實現其攻擊目的，企業應該打造自己的開源安全工具套件。企業應選擇多種工具，如果其中一個工具存在漏洞，其他安全工具可幫助克服這個漏洞;企業的工具包中的工具越多，企業就能更好地保護其數據，而不會受到特定開源安全程序中漏洞的影響。

[[162839]]

開源安全工具包至少應該包括檢測/滲透測試工具(例如Metasploit Framework)、漏洞掃描儀(例如Nexpose)、安全事故處理程序(例如MozDef)、惡意軟件分析工具(例如Cuckoo Sandbox)以及網絡監控工具(例如Nagios)。為了確保它們正確工作以及不包含漏洞，安全管理人員應該在獨立于生產環境的測試平臺測試它們。

下面是在構建開源安全工具包時應該考慮的三個因素：

垂直行業

企業在選擇工具包中的安全工具時，應該考慮企業類型以及企業所處的垂直行業。在選擇安全工具時，還應該了解哪些垂直行業遭遇了最多的數據泄露和安全事件，以及不同垂直行業面對的威脅性質。

Verizon公司2015年數據泄露調查報告顯示，公共事業組織是數據泄露和安全事件的頭號目標，其次是金融服務、制造業、住宿和零售業。另外，零售和住宿業中較小型企業發生數據泄露的頻率遠遠超過較大型企業。

零售業企業可能會使用開源POS系統工具(例如SUSE Enterprise Point of Service或者OpenBravo Retail)，這些工具有自己的安全控制和功能。OpenBravo Retail具有基于角色的訪問權限和審批，以及POS終端身份驗證。而對于SUSE Enterprise Point of Service等Linux軟件，企業應該考慮其他Linux開源安全工具。為了領先于攻擊者，企業應該獲取最新版本的工具，并確保它們會定期更新。

合規要求

企業通常需要滿足多個合規要求，如果企業未能遵守法規，可能面臨高昂的罰款，還可能損失企業信譽。然而，簡單地執行法規或標準的合規政策是不夠的;為了減少違規的風險，企業應該考慮合規工具，例如日志分析。其中筆者最喜歡的是OSSEC或者說開源基于主機的入侵檢測安全，它會檢查企業對各法案的合規情況，包括HIPAA、支付卡行業數據安全標準、薩班斯-奧克斯利法案以及聯邦信息安全管理法案(FISMA)。在對FISMA文件使用OSSEC之前，企業可考慮先使用OpenFISMA，這是專為滿足FISMA要求的自動工具。

OSSEC的核心是管理服務器，它可幫助企業更好地管理政策的完整性檢查，以及跨多個操作系統的日志分析，包括Linux、Windows、Solaris和Mac。服務器在檢測到對文件系統的未經授權更改或日志文件中的惡意行為時，它會發送警報給安全管理人員。企業必須確保在規定報告的期限前解決這些問題。

服務水平協議

如果企業計劃通過軟件即服務(SaaS)提供商來監督其IT要求部分，企業應該考慮使用網絡監控工具來執行企業和提供商協商的服務水平協議(SLA)。其中一些工具在后臺運行，而有些則是自動化。有些通過命令行窗口手動配置，例如Pandora FMS和PRTG Network Monitor Freeware，而其他工具則提供更方便的用戶界面。

如果沒有適當的網絡監控工具，企業沒有辦法知道服務提供商是否滿足SLA中規定的服務水平(正常運行時間保證)，安全管理人員和網絡管理員也不知道網絡的運行狀況。

通過監控工具，網絡和安全管理人員能夠監控網絡性能，并使用這些數據來衡量服務水平協議。當性能開始減少時，該工具應該發送警報，讓企業和服務提供商知道應該采取什么行動。如果警報第一次提示性能已經下降到商定的水平，應該給予服務提供商預先規定的一段時間來解決這個問題。未能滿足最后期限可能會導致對供應商的處罰。

SLA也應該有退出條款。如果企業不滿意服務提供商的網絡性能或者存在沒有得到解決的安全問題，企業應該能夠在沒有巨額罰款的情況下解除合約。退出條款應該明確提供商用來下載以及備份企業數據的格式。