分享一些支持企业安全工作的免费工具

分享一些支持企业安全工作的免费工具。其实网上有很多非常实用的免费安全工具，如果要全部介绍这些工具的话，可能一天一夜的时间都不够。虽然现在也有很多公司会通过试用版软件来“勾引”用户去购买他们完整功能的产品，但是目前市面上仍然有很多功能强大的免费安全工具，包括情报工具、在软件开发阶段保证安全性的工具、渗透测试工具和取证工具等等。

工具简介

威胁情报工具包括AlienVault的Open Threat Exchange(OTX)，这个工具实际上是一个计算机安全平台，它可以收集并共享互联网威胁情报，类似的平台还有Hailataxii和Cymon.io等等。除此之外，我们还有很多静态应用程序安全测试(SAST)工具可供选择，开发人员可以用这些工具来测试采用不同编程语言(C/C++、Ruby on Rails或Python等)开发的软件。就渗透测试而言，我们通常选择使用Nmap安全扫描工具和Wireshark网络协议分析工具。专门的分析取证产品包括GRR远程取证框架、Autopsy和SleuthKit等，这些工具可以对硬盘驱动器和智能手机进行取证分析，而Volatility Foundation的开源框架则可以对系统内存进行取证分析。

威胁情报工具

安全厂商可以对威胁情报进行分析，并为相应的威胁信息创建签名，而他们的安全检测工具就可以利用这些签名数据来检测安全威胁了。AlienVault的Open Threat Exchange(OTX)平台可以收集并与社区共享互联网威胁情报信息，这个项目目前总共有来自140个国家的47000多名参与者，这些参与者每天都会贡献超过4百万个威胁情报标识。当新型威胁出现时，这种形式的资源共享可以帮助企业和安全厂商快速地对这些安全威胁进行识别和响应。

CyTech Services的首席执行官Ben Cotton(注册信息系统安全专家，CISSP)也表示：

“AlienVault的OTX平台在共享威胁情报标识(IoC)方面做得非常的好。安全产品可以通过OTX所提供的IoC来增强自身的检测能力，并更好地检测新型的安全威胁。”

eSentire的Cymon.io同样也提供了大量免费的威胁情报信息，根据其官网所提供的数据，当社区成员发现了新的恶意活动或病毒感染源，他们便会立刻将相应的标识添加到Cymon.io的数据库中。

Cymon每天都会从180个不同的领域来获取安全威胁情报信息，这些领域包括公共产业、政府机构、以及商业威胁情报来源(例如VirusTotal、Phishtank、blacklists以及各大反病毒厂商的安全报告)等等。Cymon可以利用这些威胁情报来追踪恶意软件、网络钓鱼、僵尸网络、以及垃圾邮件等恶意活动，Cymon的数据库每天都会新增超过2万个独立的IP地址，到目前为止，Cymon总共有超过6百万个登陆IP，并且记录了超过3370万次安全事件。

Cotton还表示：

“在我看来，除了OTX之外，Hailataxii.com也是一个非常棒的开源威胁情报资源库。但Cymon.io同样做得非常好，我认为作为一个威胁情报共享平台来说，它与AlienVault的OTX和Hailataxii一样的优秀。”

在软件开发阶段增强安全性的工具

现在也有很多静态应用程序安全测试(SAST)工具可供广大开发人员使用，开发人员可以在软件的编码阶段利用这些工具来测试自己所编写的软件安全性是否到位。Cigital的资深安全顾问Meera Subbarao认为：“目前世界上最为流行的JavaSAST工具就是FindBugs和PMD了。这些SAST工具大多都可以以插件的形式添加到开发人员所使用的IDE内，这样就可以更好地帮助他们在开发应用程序的过程中保证编码的安全。当然了，除了针对Java的SAST工具之外，也有很多专为Python、Ruby on Rails、C/C++、JavaScript、以及.NET等编程语言的SAST工具。”

专为渗透测试/渗透测试人员而生的工具

通过对产品进行渗透测试，安全人员可以赶在黑客之前发现产品中存在的安全漏洞。安全专家使用最广泛的就是开源的Nmap安全扫描器了。Nmap由Gordon Lyon开发，它是一款专业的渗透测试工具，安全研究人员可以使用Nmap来扫描目标主机端口并定位网络漏洞。Cotton认为：“如果要进行网络漏洞分析的话，在所有的免费开源扫描工具中Nmap的效率是最高的。唯一不足的是，虽然Nmap可以扫描大型网络，但是它却没有提供与安全事件响应有关的功能。”

Wireshark是一款得到了广泛使用的网络协议分析工具，它同样是一款免费的渗透测试工具。该软件最初由GeraldCombs负责开发，目前由Riverbed负责维护。Cotton表示：“Wireshark可能是目前最好的网络数据包嗅探工具了。但是，Wireshark并不支持扫描文件大小超过100MB的数据包。”

分析取证工具

企业可以利用取证工具来调查过去所发生的或正在发生的安全事件。Google的GRR远程取证框架(免费，开源)提供了实时事件响应服务，我们可以通过GRR的python代理来与GRR的python服务器进行实时交互来获取这项服务。你可以在Windows、Linux、以及macOS系统中使用GRR代理，并对系统内存数据进行取证和分析。同样的，虽然它是一款非常优秀的工具，但是当GRR用于企业环境中时，其扩展性方面的问题就会暴露出来。Cotton认为：“一般来说，我们只会用GRR来处理十台左右的设备。”

通常情况下，我们会拿多种工具来配合使用。取证工具Autopsy和SleuthKit可以对计算机硬盘、智能手机、以及磁盘镜像进行分析，该产品支持Windows、Linux、以及macOS系统。Cotton说到：“这些工具只能帮助我们对十台以下的电脑进行分析，而且Autopsy和SleuthKit同样无法有效地处理大型网络中的问题。”

还有一款不得不提的内存分析工具，即VolatilityFoundation的开源框架。这款分析取证工具可以通过收集目标主机RAM中的数据来对正在运行中的系统进行剖析。它允许你从Windows系统中收集内存数据，并导出进程、开放端口、以及网络链接相关的数据，所以它可以帮助我们识别内存中正在运行的恶意软件。

Cotton解释称：

“我强烈推荐VolatilityFoundation的这款内存分析开源框架。但它的不足之处在于，当你需要开始分析数据之前，你需要创建当前的内存镜像，这样你才可以导出内存数据，并使用Volatility来对目标主机当前的RAM数据进行分析。”

这些免费的安全软件仍有很长的路要走

本文所列举出的免费工具几乎是每一位安全研究人员都使用过的，不仅是因为这些工具在开源软件项目中都是佼佼者，而且这些工具是全世界任何一个地方的人都可以免费获取和使用的。你可以使用这些工具来暂时填补企业中的安全空缺，并尽你所能地将组织或自身的安全做到你所能实现的高度。