网络安全与开源有着不解之缘,除了商业安全产品中使用的大量开源代码外,网络安全行业大量网络安全框架、工具、方法、模型甚至情报都已开源方式分享和发展。开源安全项目对于推动网络安全技术的创新和标准化正发挥着越来越重要的作用。
以下,我们整理了20个在GitHub上开源的20个开源安全项目,覆盖从漏洞扫描和网络监控、加密和事件响应的各个领域,可帮助个人和企业更好地保护其数字资产:
ATT&CK Navigator
ATT&CK Navigator是ATT&CK矩阵的导航和注释工具,使用方法类似于Excel。它提供了一种可视化防守覆盖范围、以及计划和跟踪红/蓝团队活动和技术的方法。它还支持用户操作矩阵单元格,例如添加注释或颜色编码。
ATT&CK Navigator的主要功能是创建自定义图层,提供ATT&CK知识库的个性化视角。用户可通过交互方式或编程方式创建图层,然后使用导航器进行可视化。
地址:
https://github.com/mitre-attack/attack-navigator
Cryptomator
Cryptomator是一个开源跨平台工具,为存储在云中的文件提供客户端加密。
与许多云提供商提供的加密服务不同(云提供商通常仅在传输过程中加密数据或保留解密密钥本身),Cryptomator确保只有用户拥有其数据的密钥。这种方法可将密钥被盗、复制或滥用的风险降至最低。
Cryptomator还支持用户从任何设备访问他们的文件。
地址:
https://github.com/cryptomator/cryptomator
Cutter
Cutter是一个免费的开源逆向工程平台,使用Rizin作为其核心引擎。这使用户能够通过图形用户界面(GUI)或集成终端访问众多功能。
Cutter提供了大量小组件和功能,以提高逆向工程过程的舒适性。它的版本与原生的Ghidra反编译器完全集成,不再需要Java技能。
地址:
https://github.com/rizinorg/cutter
Dismap
Dismap是一个资产发现和识别工具,支持Web、TCP和UDP等协议,可检测各种资产类型,适用于内部和外部网络。Dismap能协助红队人员识别潜在风险资产,并支持蓝队人员检测可疑的脆弱资产。
Dismap的指纹规则库包含TCP、UDP和TLS协议指纹,以及4500多个Web指纹规则。这些规则有助于识别元素,例如网站图标、正文、标题和其他相关组件。
地址:
https://github.com/zhzyker/dismap
Faraday
Faraday是一个开源漏洞管理器,可帮助安全专业人员专注于查找漏洞,同时简化组织他们的工作过程。
法拉第的主要功能之一是能够聚合和规范化加载到其中的数据。这使管理人员和分析师能够通过各种可视化来探索数据,从而有助于更好地了解漏洞并有助于决策过程。
地址:
https://github.com/infobyte/faraday
Hayabusa
Hayabusa是一个Windows事件日志快速取证时间线生成器和威胁狩猎工具。它是用Rust编程语言实现的,并结合了多线程来优化其速度。该工具包括将Sigma规则转换为Hayabusa规则格式的功能。
与Hayabusa兼容的检测规则是用YAML编写的,可以轻松自定义和扩展。Hayabusa可以以多种方式使用,包括对单个系统的实时分析,通过从单个或多个系统收集日志进行离线分析,或与Velociraptor组合使用,进行企业范围的威胁搜寻和事件响应。
Hayabusa输出的信息被整合到一个CSV时间轴中,便于在LibreOffice、Timeline Explorer、Elastic Stack、Timesketch等流行工具中进行分析。
地址:
https://github.com/infobyte/faraday
ImHex
ImHex是一个十六进制编辑器:一种显示、解码和分析二进制数据的工具,以对其格式进行逆向工程,提取信息或打补丁。
ImHex提供很多高级功能,例如:完全自定义的二进制模板和模式语言、用于解码和突出显示数据中的结构、基于图形节点的数据处理器、用于在显示值之前对其进行预处理、反汇编器、差异支持、书签等等。ImHex在GPLv2许可证下开源。
地址:
https://github.com/WerWolv/ImHex
Kubescape
Kubescape是一个开源的Kubernetes安全平台,用于IDE、CI/CD管道和集群。它提供风险分析、安全评估、合规性检查和错误配置检测等功能。
Kubescape扫描各种组件,包括集群、YAML文件和Helm图表。它利用多个框架,如NSA-CISA、MITRE ATT&CK和CIS基准来识别错误配置。
地址:
https://github.com/kubescape/kubescape
Matano
Matano是一个开源云原生安全湖平台,可替代SIEM(安全信息和事件管理)。它可以在AWS平台上实现大规模PB级的威胁搜寻、检测、响应和网络安全分析。
借助Matano,用户可以使用基于S3(简单存储服务)或SQS(简单队列服务)的摄取方法来收集数据。它带有预配置的源,如CloudTrail、Zeek和Okta,并且还会自动从所有SaaS源中检索日志数据。
地址:
https://github.com/matanolabs/matano
Malwoverview
Malwoverview是流行的威胁狩猎工具,可用于恶意软件样本、URL、IP地址、域、恶意软件系列、IOC和哈希的初始和快速评估。
它提供了生成动态和静态行为报告的功能,并允许用户从各种端点提交和下载样本。Malwoverview还可以充当已有沙盒的客户端,能够有效分析潜在威胁。
地址:
https://github.com/alexandreborges/malwoverview
Metasploit Framework
Metasploit Framework是一个基于Ruby的模块化渗透测试平台。它允许用户编写、测试和执行漏洞利用代码。
它包含一套用于测试安全漏洞、网络枚举、攻击执行和检测规避的工具。
Metasploit Framework是当今最流行的进攻性安全工具集之一,为渗透测试和漏洞利用开发提供了完整的环境。
地址:
https://github.com/rapid7/metasploit-framework
MISP
MISP是一种开源威胁情报平台解决方案,用于收集、存储、分发和共享与网络安全事件和恶意软件分析相关的网络安全指标和威胁。它专为事件分析师、安全和ICT专业人员或恶意软件分析师设计,以支持他们的日常运营,从而有效地共享结构化信息。
MISP的主要目标是促进安全社区内外的结构化信息共享。它提供各种功能,通过网络入侵检测系统(NIDS),基于日志的入侵检测系统(LIDS)以及日志分析工具和SIEM系统交换和利用此类信息。
地址:
https://github.com/MISP/MISP
Nidhogg
Nidhogg是为红队设计的rootkit,整合多种功能且用户友好,仅通过一个header文件即可轻松集成到红队的C2框架中。
Nidhogg与x64版本的Windows 10和Windows 11兼容。存储库包括一个内核驱动程序和一个用于通信目的的C++头文件。
地址:
https://github.com/Idov31/Nidhogg
RedEye
RedEye是CISA和能源部太平洋西北国家实验室开发的开源分析工具。其目的是支持红队分析和报告指挥和控制活动。它帮助运营商评估缓解策略,可视化复杂数据,并根据红队评估的结果做出明智的决策。
该工具旨在解析日志,特别是由Cobalt Strike生成的日志,并以易于理解的用户友好格式呈现数据。用户可以标记工具中显示的活动并添加注释,从而增强协作和分析。RedEye还提供演示模式,允许操作员向利益相关者展示他们的发现和工作流程。
地址:
https://github.com/cisagov/RedEye
SpiderFoot
SpiderFoot是一个开源智能(OSINT)自动化工具。它与各种数据源集成,并采用多种数据分析方法,便于对收集的信息进行导航。
SpiderFoot集成了嵌入式Web服务器,可提供用户友好的基于Web的界面,用户也可以选择完全通过命令行进行操作。该工具用Python 3编码,并在MIT许可下发布。
地址:
https://github.com/smicallef/spiderfoot
System Informer
System Informer是一个免费的多用途工具,能够监控系统资源,调试软件和检测恶意软件。
它提供以下功能:
概览正在运行的进程和资源使用情况
详细的系统信息和图表
查看和编辑服务
其他一些软件调试和分析功能
地址:
https://github.com/winsiderss/systeminformer
Tink
Tink是由Google密码学家和安全工程师开发的开源密码库,提供安全且用户友好的API,通过以用户为中心的设计方法、严谨的实现和代码审查以及彻底的测试来最大限度地减少常见错误。
Tink专门设计用于帮助没有加密背景的用户安全地执行加密任务,已部署在Google的众多产品和系统中。
地址:
https://github.com/google/tink
Vuls
Vuls是专为Linux、FreeBSD、Container、WordPress、编程语言库和网络设备设计的漏洞扫描程序。
Vuls是一种无代理工具,主要功能如下:
识别系统漏洞
提供有关受影响服务器的信息
自动漏洞检测
使用CRON等方法定期报告漏洞
地址:
https://github.com/future-architect/vuls
Wazuh
Wazuh是一个免费的开源平台,提供威胁预防、检测和响应功能,可用于保护各种环境中的工作负载,包括本地、虚拟化、容器化和基于云的设置。
Wazuh有两个主要组件:端点安全代理和管理服务器。端点安全代理安装在受监视的系统上,并负责收集与安全相关的数据。管理服务器接收代理收集的数据并对其执行分析。
Wazuh已与Elastic Stack完全集成,提供搜索引擎和数据可视化工具。此集成允许用户浏览其安全警报并从收集的数据中获得见解。
地址:https://github.com/wazuh/wazuh
x64dbg
x64dbg是专为Windows操作系统设计的开源二进制调试器。它侧重于在源代码不可用时对恶意软件进行分析或对可执行文件进行逆向工程。
x64dbg的主要功能包括:
可定制性:用户可以C++编写插件,自定义颜色,并根据自己的需要调整首选项。
x64/x32支持:可以同时处理x64和x32应用程序,提供统一的调试接口。
基于开源库构建:x64dbg使用Qt、TitanEngine、Zydis、Yara、Scylla、Jansson、lz4、XEDParse、asmjit和snowman。
开发简单:该软件使用C++和Qt开发,可以有效地添加新功能。
可脚本性:x64dbg具有集成且可调试的类似ASM的脚本语言。
社区智慧:x64dbg的许多功能都是由逆向工程社区构思或实现的。
可扩展性:用户可以创建插件来添加自定义脚本命令或集成外部工具。
地址:https://github.com/x64dbg/x64dbg