这些必备的开源工具帮助首席信息安全官及其团队扫描漏洞、分析协议、进行取证，并支持威胁情报和加密。

自理查德·斯托曼撰写他的定义开源软件的宣言以来，已经快 40 年了。从那时起，计算机安全界接受了他的愿景——至少对于某些软件——并在很大程度上依赖于它。专业人士通常选择的第一个工具往往是开源选项，因为它们得到了广泛社区的保障和支持。这段代码是支持安全可靠互联网的基础之一。

最近，XZ Utils等丑闻让用户感到犹豫。开放性是否是攻击的危险途径？是否还有其他问题在等待？拥护者指出，虽然开放性可能使某些攻击变得更容易，但这也是独立审查员能够发现问题的唯一原因。在专有技术堆栈中，类似的恶作剧可能会被隐藏更长时间。

经过所有的担忧和质疑，开源软件往往是太好而无法忽视的。有数百个优秀的开源选项，对于防止企业堆栈中的入侵和数据丢失至关重要。尽管像对 XZ Utilities 的攻击这样的入侵潜力依然存在，但开源工具的优势远远超过任何危险。

这里有7 个开源安全工具，首席安全官、首席信息安全官及其团队每天依赖于特定用例。这些工具包包含了安全社区在发现和解决安全漏洞方面的智慧和经验。

最优秀的程序员意识到自己知识的局限性。ZAP（Zed Attack Proxy）是一个渗透测试工具，旨在通过收集社区对网络应用程序潜在漏洞和弱点的理解来克服我们个人的局限性。

ZAP 位于安全团队的浏览器与正在测试的网络应用程序之间，因此它可以在循环通过一些可能的攻击向量时修改任何数据包。它是一个具有增强功能的代理，用于寻找弱点。任何渗透测试人员都可以通过 ZAP 的规则集运行一系列预设攻击。当需要时，可以添加自定义有效载荷和规则以测试特定的危险。

该系统正在积极开发中，拥有雄心勃勃的路线图，以添加更好的脚本和对更多协议（如gRPC）的更广泛支持。所有主要操作系统的预构建软件包也可用。

检测数据泄漏的最佳方法之一是监视通信线路，而 Wireshark 是揭示有线和无线网络中传输内容的最佳工具之一。该协议分析器现在已升级至版本 4.2，根据数百个不同网络源定义的规则解包并解析数据。

几百名专业人士的贡献慢慢将一个曾被称为 Etherreal 的简单程序转变为一个工具，能够揭示现代网络所支持的复杂通信协议的不同部分。如果您对来自特定软件包的特定类型的数据流感到好奇，可以定义一个捕获过滤器来监视它，并将其单独设置，以便一组显示过滤器进行格式化分析。

该工具可以在大多数操作系统上运行，包括 Windows、MacOS 和几乎所有版本的 Unix。

近年来，社区吸引了更多希望提供更好文档和培训的人。现在专门用于该工具的网站提供了详细的手册，以及一些视频和文本课程，教你如何使用 Wireshark 来揭示通过电缆流动的内容。

当安全漏洞发生时，安全专家会使用取证工具通过解压数据库、日志文件和操作系统的奇怪角落来寻找线索。一些最好的工具是开源项目，不仅用于管理软件，还用于提供已知恶意软件的文物集合。

Bloodhound Community Edition 是一个开源版本的企业工具，用于检查一组被攻陷的机器，以找出入侵者采取的攻击路径。它结合了图论和对 Azure 及 Windows Active Directory 的知识，以揭示任何攻击中的步骤。安全团队可以利用这些信息来了解哪些部分已被攻陷，修补漏洞并提高安全性。

尸检是探索硬盘映像的另一种全面工具。数十个模块通过特定策略扩展软件，以揭示特定类型入侵的数据。例如，哈希查找模块计算文件的 MD-5 和 SHA-256 哈希，并将其与已知问题文件的数据库进行比较。扩展不匹配模块查看文件内部结构是否与其名称匹配，因为不匹配是攻击者可能隐藏某些东西的良好指示。还提供培训、支持和自定义模块。

DFIR 团队可以同时使用这两种工具来处理被攻击的计算机，并了解事件发生后它究竟发生了什么。

开源的一个亮点领域是支持广泛的集体努力，而恶意软件信息共享平台，通常称为MISP，就是最好的例子之一。该系统收集有关潜在攻击向量的情报碎片，并提供一个搜索引擎来对其进行索引以便进行关联分析。调查人员和数字取证与事件响应团队在开始分析取证图像时依赖于它。

生成的数据库支持灵活的数据模型，其中对象代表各种妥协指示（IoC）。每个节点存储技术和非技术细节。如果属性之间存在相似性，支持模糊匹配的索引算法将自动发现连接。

MISP 旨在支持协作工作，以便团队可以通过图形界面构建共享时间线和事件图。数据还可以导出，以支持与其他工具的交叉链接，使用它们的原生格式（一些包括 Suricata、Snort 和 Bro、OpenIOC、纯文本、CSV、MISP XML 或 JSON）。

该项目得到了欧盟的支持，许多地方政府通过项目内的各个社区协调努力。基于网络的工具的源代码主要用 PHP 编写，也可用。

良好的加密算法构成了所有安全性的基础，提供隐私、身份验证和保证。所有标准算法都可以在许多开源库中找到，依赖于它们的许多工具也是开源的，包括 Bouncy Castle、Java Cryptographic Extensions、GnuTLS 等。

例如，是一组脚本，使系统管理员可以轻松地为 Web 服务器添加内容加密。这些脚本会询问几个基本问题，然后处理生成证书的所有工作，从而使 Web 用户能够保护他们在数据传输时阅读的数据和提交的表单。

GNU Privacy Guard 是 PGP 标准的完整实现，用于保护通信。其目标是使最终用户能够加密和签署他们的电子邮件消息。还支持安全外壳交互和 S/MIME 交互。

更多开源安全工具仍在蓬勃发展

开源一直是安全专业人士的丰富工具来源。Metasploit，这个开源渗透测试框架，曾经是最知名的。但信息安全并不仅限于研究人员、调查员和分析师的领域，我们下面调查的五个开源安全工具也不例外。IT 管理员和软件开发人员在其中扮演着关键角色，借助这五个工具，他们可以有所作为。

恶意软件研究人员喜欢使用Yara，这是来自 VirusTotal 的 Víctor Manuel Álvarez 的开源项目，用于识别和分类恶意文件样本。然而，这个“模式匹配瑞士军刀”不仅仅可以用于简单的恶意软件分类。它在事件响应和取证调查中也非常有用。您可以创建由文本字符串、十六进制值或正则表达式组成的规则，Yara 会在可疑的目录和文件中查找任何匹配项。虽然扫描文件是最常见的用法，但 Yara 也可以使用规则来检查正在运行的进程。

https://virustotal.github.io/yara/

通过分析 Yara 文件，卡巴斯基实验室和 AlienVault 的研究人员能够将攻击索尼的攻击者与去年在亚洲的其他攻击联系起来。

一种常见的攻击技术是用冒名顶替者替换系统文件，以在机器中建立后门。保持关注系统文件是否完好的一种方法是查看 MD5 和 SHA-1 哈希。另一种方法是为系统文件中的多个字符串或值设置 Yara 规则，并定期扫描这些文件。如果扫描未能找到匹配项，您就知道文件已被修改——是时候进行调查了。如果攻击者一直在将命令行外壳的副本上传到未知位置，Yara 可以查找这些副本。

除了预配置的规则和您创建的规则外，Yara 还可以使用开源杀毒工具 ClamAV 的病毒特征文件，以及来自社区维护的YaraRules 库的规则集。该库具有用于检测已知打包器或标记恶意进程的预定义规则。例如，还可以利用 VirusTotal 私有 API 设置触发器，当环境中扫描的文件与已上传到 VirusTotal 恶意软件数据库的文件匹配时。Yara 不必从命令行界面运行；它有一个 Python 库，可以将其集成到 Python 脚本中。

能够发现文件的不良变化或在不良位置（如外发电子邮件附件）检测出明显的模式（社会安全号码、管理凭证等），Yara 是一个功能强大的工具，似乎有无尽的用途。基于签名的检测是有限的，因此仅依赖 Yara 来查找恶意文件并不是一个好主意。但考虑到它的灵活性，错过这个工具也不是一个好主意。

想象一下，如果在您的 Windows、MacOS 和 Linux 终端中定位恶意进程、流氓插件或软件漏洞只需编写一个 SQL 查询，那将是多么简单。这就是 OSquery 的理念，这是 Facebook 工程师开发的一个开源工具，它将操作系统信息（如正在运行的进程、加载的内核模块、打开的网络连接、浏览器插件、硬件事件和文件哈希）收集到一个关系数据库中。如果您会编写 SQL 查询，这就是您获取安全问题答案所需的一切——无需复杂的代码。

例如，以下查询将找到所有在网络端口上监听的进程：

SELECT DISTINCT process.name, listening.port, listening.address, process.pid FROM processes AS process JOIN listening_ports AS listening ON process.pid = listening.pid;

此查询将查找地址解析协议（ARP）缓存中的异常，该缓存包含有关 IP 地址及其解析的以太网物理地址的信息：

SELECT address, mac, COUNT (mac)AS mac_count FROM arp_cache GROUP BY mac HAVING COUNT(mac)>1;

这比用 Python 编码简单得多。OSquery 以直接而优雅的方式解决了一个重要问题（在 2017 年获得 InfoWorld 的年度技术奖）。组件包括 OSqueryi，一个可以与 PowerShell 一起使用的交互式 shell，以及 OSqueryd，一个执行低级主机监控并允许您调度查询的守护进程。

IT 管理员可能不使用开源安全工具的原因有很多，包括对成熟度和支持的担忧。更关键的是信任的问题。企业可能不愿依赖他们对其一无所知的开发者的产品来保护他们的核心资产。

此列表上的开源安全项目得到了可信赖的名字的支持，它们绝对应该引起你的注意。这些工具每个都针对特定的安全问题，并且留下的足迹有限。尝试一下也无妨。它们可能会对你的工作方式和环境的安全性产生重大影响。

🎉 大家期盼很久的#数字安全交流群来了！快来加入我们的粉丝群吧！

🎁 多种报告，产业趋势、技术趋势

这里汇聚了行业内的精英，共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利，只为回馈最忠实的您！

👉 扫码立即加入，精彩不容错过！

😄嘻嘻，我们群里见！