[[165685]]

【51CTO.com快譯】雖然大多數管理員完全有能力以手動方式執行任務或者編寫腳本以實現流程自動化，但借力于現成工具顯然更具成本效率。與此同時，擁有超過800個安全類項目的GitHub則是一座IT管理員不容錯過的寶庫，其中大量工具與框架足以應對惡意軟件分析、滲透測試、計算機與網絡取證、事件響應以及網絡監控等等現實問題。

在今天的文章中，我們將共同了解那些值得關注的系統與網絡保護方案。

1.滲透測試

首先來看滲透測試，這里要提的是Rapid7公司的Metasploit Framework。憑借其豐富的資源庫，安全專家能夠利用這套方案對應用程序進行漏洞檢測與安全評估。

此平臺立足于模塊化結構以實現廣泛的通用性，包括可接入面向計算機、手機、路由器、交換機、工業控制系統以及嵌入式設備的功能模塊與測試機制。另外，Metasploit還支持Windows、Linux、Android以及iOS等平臺。

Metasploit的功能非常全面，但在滲透測試方面，我們還可以選擇其他工具，首先是Browser Exploitation Framework (簡稱BeEF)，這款工具專門面向瀏覽器，可利用客戶端攻擊向量評估企業環境下Web層面的安全水平。

Mimikatz則是另一款滲透工具，允許測試人員在Windows設備或者網絡當中獲得立足點。Mimikatz非常強大，允許測試人員提取純文本密碼、哈希值、PIN碼以及Kerberos ticket等來自內存的令牌，同時可將受感染系統中的證書與對應私鑰導出。Mimikatz可單獨使用，同時亦被包含在Metasploit中作為Meterpreter腳本。

2.縱深防御工具

CloudFlare打造的CFSSL堪稱“瑞士軍刀”，其能夠簽署、驗證及綁定TLS證書。CFSSL由命令行工具與HTTP API服務器共同構成，允許管理員建立定制化TLS/PKI工具并利用多套簽署密鑰進行證書驗證。CFSSL還具備一套完整的TLS端點掃描工具，旨在測試服務器配置以識別其中的最新安全漏洞，同時可傳輸軟件包以實現證書配置與撤銷。

在軟件開發流程當中，密鑰與密碼等敏感數據的泄露可謂屢見不鮮。Gitrob 能夠幫助專家掃描自己的GitHub庫以找到敏感文件。盡管GitHub內置有信息搜索功能，但Gitrob能夠將全部公共庫與成員庫匯總成單一列表以簡化相關流程。這款工具可通過列表根據不同模式匹配文件名稱，找到包含敏感信息的文件。Gitrob還能將全部信息保存在PostgreSQL數據庫中，并通過簡單的Web應用顯示搜索結果。

Lynis是一款面向Linux、Mac OS X、BSD以及Solaris等Unix類系統的安全審計與強化工具。它能夠深入掃描并檢測系統中的問題、存在漏洞的軟件包以及配置設置，并提出相關解決建議。作為藍綠檢測中藍色團隊中的常用工具，Lynis能夠輕松實現安全評估、合規性測試、漏洞檢測、配置管理以及補丁管理。

國家安全局的系統完整性管理平臺(簡稱SIMP)允許安全團隊針對網絡系統定義并應用安全策略及標準。各組織可利用這套框架滿足安全合規要求并自動完成日常任務。SIMP能夠立足于網絡行為顯示操作軌跡以及安全團隊的工作偏差，用戶需要購買紅帽企業Linux授權，方可使用。

3.網絡安全監控

Bro Network Security Monitor面向網絡中的全部設備實現可視化，同時能夠介入網絡流量并檢查網絡數據包，其分析器則可以檢測應用層。安全專家可利用Bro的特定域名腳本語言創建有針對性的站點監控策略。根據該項目的官方網站所介紹，Bro適用于各類科學環境，例如高校、研究實驗室以及超級計算中心等。

OSSEC將基于主機的入侵檢測系統與日志監控及SIEM(即安全信息與事件管理)功能相結合，同時適用于Linux、Mac OS、Solaris、AIX以及Windows等系統平臺。安全團隊可利用它實現日志分析、文件完整性檢查、策略監控、rootkit檢測、實時報警與主動響應等功能。企業還可通過配置發送與未授權文件系統修改及軟件日志內惡意行為相關的警報，從而滿足合規性要求。

Moloch是一套大型全數據包捕捉式索引與數據庫系統，負責實現事件處理、網絡安全監控及數字化取證。Moloch允許管理員瀏覽、搜索并導出其捕捉到的全部網絡流量，其中還包含一款用于數據捕捉的單線程C應用、一款用于處理用戶界面的Node.js應用外加一套Elasticsearch數據庫。

4.事件響應與取證

Mozilla Defense Platform (簡稱MozDef)能夠自動實現事件處理，包括為安全專家提供統一平臺對安全事件進行實時監控、響應及協作。MozDef利用Elasticsearch、Meteor以及MongoDB以擴展傳統SIEM功能，且屬于Mozilla公司自身所使用的成熟平臺。

OS X Auditor能夠對內核擴展、系統代理與守護程序、第三方代理、已下載文件以及當前運行系統中的已安裝應用(或者副本)進行解析與散列處理。這款取證工具可提取多種用戶信息，包括隔離文件、瀏覽器歷史記錄與cookie、文件下載、LastSession、HTML 5數據庫與localstore、登錄數據、社交與郵件賬戶乃至已保存無線連接等。OS X Auditor還會驗證每個文件的實際來源以實現取證調查。

作為微軟與Unix系統上的利器，Sleuth Kit允許調查員識別并恢復數字化證據，同時可創建鏡像以實現事件響應。調查人員能夠分析文件內容、自動完成具體進程并執行MD5鏡像完整性檢查。該套件還包含一套庫與命令行工具，并通過其Autopsy圖形界面進行工具訪問。

GRR快速響應框架專注于面向Linux、OS X以及Windows客戶端的遠程實時取證。調查人員可在目標系統中安裝Python代理以實現實時遠程內存分析、數字化證據收集，并對CPU、內存及I/O使用情況等系統細節進行監控。GRR還利用SleuthKit幫助用戶進行原始文件系統訪問。

5.研究工具與漏洞掃描工具

Radare項目是一款面向Android、Linux、BSD、iOS、OS X、Solaris、Haiku、FirefoxOS以及QNX等系統的逆向工程框架與命令行工具，同時支持32位與64位Windows。該項目最初為取證工具兼腳本化命令行十六進制編輯器，但在發展中逐漸引入了庫與工具，能夠分析二進制文件、拆卸代碼、調試程序并接入遠程gdb服務器。Radare支持多種架構類型，包括英特爾、ARM、Sparc以及PowerPC等等。

Brakeman是一款面向Ruby on Rails應用的漏洞掃描工具，允許大家對應用進行分部數據流分析。Brakeman能夠幫助管理員發現Web應用中的SQL注入、SSL驗證回避以及信息泄露等漏洞。Brakeman可作為網站安全掃描工具使用。

Quick Android Review Kit (簡稱Qark)負責搜索Android應用中的漏洞，包括源代碼與打包APK。該工具能夠識別出不當導出組件、無效x.509證書、數據泄露、私鑰嵌入源代碼、密碼強度過低或使用不當以及點擊劫持等多種問題。Qark還能夠提供與所發現漏洞相關的信息，并創建概念驗證APK以證明其發現結果。

在惡意軟件分析方面，我們可以選擇Cuckoo Sandbox。這是一套自動化動態惡意軟件分析系統，源自2010年谷歌組織的Summer of Code項目。Cuckoo能夠建立隔離的虛擬環境，并在其中運行可疑文件并監控其行為。Cuckoo還能夠徹查內存并分析數據——例如追蹤API調用并記錄文件的創建與刪除行為——以檢測可疑文件在系統中的動向。

Jupyter并非安全類項目，但其可共享的notebooks則是一款不可或缺的安全工具。安全專家能夠借此共享實時代碼、可視化結果與解釋性文本，另外notebooks還支持嵌入shell。其它值得關注的項目組件還包括多用戶服務器Jupyterhub、diff工具、Docker stack以及一套OAuth軟件包。

原文標題：19 open source GitHub projects for security pros，作者：Antonio Silveira

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】