網絡安全與開源有著不解之緣,除了商業安全產品中使用的大量開源代碼外,網絡安全行業大量網絡安全框架、工具、方法、模型甚至情報都已開源方式分享和發展。開源安全項目對於推動網絡安全技術的創新和標準化正發揮著越來越重要的作用。
以下,我們整理了 20 個在 GitHub 上開源的 20 個開源安全項目,覆蓋從漏洞掃描和網絡監控、加密和事件響應的各個領域,可幫助個人和企業更好地保護其數字資產:
ATT&CK Navigator
ATT&CK Navigator 是 ATT&CK 矩陣的導航和註釋工具,使用方法類似於 Excel。它提供了一種可視化防守覆蓋範圍、以及計劃和跟蹤紅 / 藍團隊活動和技術的方法。它還支持用戶操作矩陣單元格,例如添加註釋或顏色編碼。
ATT&CK Navigator 的主要功能是創建自定義圖層,提供 ATT&CK 知識庫的個性化視角。用戶可通過交互方式或編程方式創建圖層,然後使用導航器進行可視化。
地址:
Github Repo not found
The embedded github repo could not be found…
Cryptomator
Cryptomator 是一個開源跨平台工具,為存儲在雲中的文件提供客戶端加密。
與許多雲提供商提供的加密服務不同(雲提供商通常僅在傳輸過程中加密數據或保留解密密鑰本身),Cryptomator 確保只有用戶擁有其數據的密鑰。這種方法可將密鑰被盜、複製或濫用的風險降至最低。
Cryptomator 還支持用戶從任何設備訪問他們的文件。
地址:
Cutter
Cutter 是一個免費的開源逆向工程平台,使用 Rizin 作為其核心引擎。這使用戶能夠通過圖形用戶界面(GUI)或集成終端訪問眾多功能。
Cutter 提供了大量小組件和功能,以提高逆向工程過程的舒適性。它的版本與原生的 Ghidra 反編譯器完全集成,不再需要 Java 技能。
地址:
Dismap
Dismap 是一個資產發現和識別工具,支持 Web、TCP 和 UDP 等協議,可檢測各種資產類型,適用於內部和外部網絡。Dismap 能協助紅隊人員識別潛在風險資產,並支持藍隊人員檢測可疑的脆弱資產。
Dismap 的指紋規則庫包含 TCP、UDP 和 TLS 協議指紋,以及 4500 多個 Web 指紋規則。這些規則有助於識別元素,例如網站圖標、正文、標題和其他相關組件。
地址:
Faraday
Faraday 是一個開源漏洞管理器,可幫助安全專業人員專注於查找漏洞,同時簡化組織他們的工作過程。
法拉第的主要功能之一是能夠聚合和規範化加載到其中的數據。這使管理人員和分析師能夠通過各種可視化來探索數據,從而有助於更好地了解漏洞並有助於決策過程。
地址:
Hayabusa
Hayabusa 是一個 Windows 事件日誌快速取證時間線生成器和威脅狩獵工具。它是用 Rust 編程語言實現的,並結合了多線程來優化其速度。該工具包括將 Sigma 規則轉換為 Hayabusa 規則格式的功能。
與 Hayabusa 兼容的檢測規則是用 YAML 編寫的,可以輕鬆自定義和擴展。Hayabusa 可以以多種方式使用,包括對單個系統的實時分析,通過從單個或多個系統收集日誌進行離線分析,或與 Velociraptor 組合使用,進行企業範圍的威脅搜尋和事件響應。
Hayabusa 輸出的信息被整合到一個 CSV 時間軸中,便於在 LibreOffice、Timeline Explorer、Elastic Stack、Timesketch 等流行工具中進行分析。
地址:
ImHex
ImHex 是一個十六進制編輯器:一種顯示、解碼和分析二進制數據的工具,以對其格式進行逆向工程,提取信息或打補丁。
ImHex 提供很多高級功能,例如:完全自定義的二進制模板和模式語言、用於解碼和突出顯示數據中的結構、基於圖形節點的數據處理器、用於在顯示值之前對其進行預處理、反匯編器、差異支持、書籤等等。ImHex 在 GPLv2 許可證下開源。
地址:
Kubescape
Kubescape 是一個開源的 Kubernetes 安全平台,用於 IDE、CI/CD 管道和集群。它提供風險分析、安全評估、合規性檢查和錯誤配置檢測等功能。
Kubescape 掃描各種組件,包括集群、YAML 文件和 Helm 圖表。它利用多個框架,如 NSA-CISA、MITRE ATT&CK 和 CIS 基準來識別錯誤配置。
地址:
Matano
Matano 是一個開源雲原生安全湖平台,可替代 SIEM(安全信息和事件管理)。它可以在 AWS 平台上實現大規模 PB 級的威脅搜尋、檢測、響應和網絡安全分析。
借助 Matano,用戶可以使用基於 S3(簡單存儲服務)或 SQS(簡單隊列服務)的攝取方法來收集數據。它帶有預配置的源,如 CloudTrail、Zeek 和 Okta,並且還會自動從所有 SaaS 源中檢索日誌數據。
地址:
Malwoverview
Malwoverview 是流行的威脅狩獵工具,可用於惡意軟件樣本、URL、IP 地址、域、惡意軟件系列、IOC 和哈希的初始和快速評估。
它提供了生成動態和靜態行為報告的功能,並允許用戶從各種端點提交和下載樣本。Malwoverview 還可以充當已有沙盒的客戶端,能夠有效分析潛在威脅。
地址:
Metasploit Framework
Metasploit Framework 是一個基於 Ruby 的模塊化滲透測試平台。它允許用戶編寫、測試和執行漏洞利用代碼。
它包含一套用於測試安全漏洞、網絡枚舉、攻擊執行和檢測規避的工具。
Metasploit Framework 是當今最流行的進攻性安全工具集之一,為滲透測試和漏洞利用開發提供了完整的環境。
地址:
MISP
MISP 是一種開源威脅情報平台解決方案,用於收集、存儲、分發和共享與網絡安全事件和惡意軟件分析相關的網絡安全指標和威脅。它專為事件分析師、安全和 ICT 專業人員或惡意軟件分析師設計,以支持他們的日常運營,從而有效地共享結構化信息。
MISP 的主要目標是促進安全社區內外的結構化信息共享。它提供各種功能,通過網絡入侵檢測系統(NIDS)、基於日誌的入侵檢測系統(LIDS)以及日誌分析工具和 SIEM 系統交換和利用此類信息。
地址:
Nidhogg
Nidhogg 是為紅隊設計的 rootkit,整合多種功能且用戶友好,僅通過一個 header 文件即可輕鬆集成到紅隊的 C2 框架中。
Nidhogg 與 x64 版本的 Windows 10 和 Windows 11 兼容。存儲庫包括一個內核驅動程序和一個用於通信目的的 C++ 頭文件。
地址:
RedEye
RedEye 是 CISA 和能源部太平洋西北國家實驗室開發的開源分析工具。其目的是支持紅隊分析和報告指揮和控制活動。它幫助運營商評估緩解策略,可視化複雜數據,並根據紅隊評估的結果做出明智的決策。
該工具旨在解析日誌,特別是由 Cobalt Strike 生成的日誌,並以易於理解的用戶友好格式呈現數據。用戶可以標記工具中顯示的活動並添加註釋,從而增強協作和分析。RedEye 還提供演示模式,允許操作員向利益相關者展示他們的發現和工作流程。
地址:
SpiderFoot
SpiderFoot 是一個開源智能(OSINT)自動化工具。它與各種數據源集成,並採用多種數據分析方法,便於對收集的信息進行導航。
SpiderFoot 集成了嵌入式 Web 服務器,可提供用戶友好的基於 Web 的界面,用戶也可以選擇完全通過命令行進行操作。該工具用 Python 3 編碼,並在 MIT 許可下發布。
地址:
System Informer
System Informer 是一個免費的多用途工具,能夠監控系統資源,調試軟件和檢測惡意軟件。
它提供以下功能:
概覽正在運行的進程和資源使用情況
詳細的系統信息和圖表
查看和編輯服務
其他一些軟件調試和分析功能
地址:
Tink
Tink 是由 Google 密碼學家和安全工程師開發的開源密碼庫,提供安全且用戶友好的 API,通過以用戶為中心的設計方法、嚴謹的實現和代碼審查以及徹底的測試來最大限度地減少常見錯誤。
Tink 專門設計用於幫助沒有加密背景的用戶安全地執行加密任務,已部署在 Google 的眾多產品和系統中。
地址:
Vuls
Vuls 是專為 Linux、FreeBSD、Container、WordPress、編程語言庫和網絡設備設計的漏洞掃描程序。
Vuls 是一種無代理工具,主要功能如下:
識別系統漏洞
提供有關受影響伺服器的信息
自動漏洞檢測
使用 CRON 等方法定期報告漏洞
地址:
Wazuh
Wazuh 是一個免費的開源平台,提供威脅預防、檢測和響應功能,可用於保護各種環境中的工作負載,包括本地、虛擬化、容器化和基於雲的設置。
Wazuh 有兩個主要組件:端點安全代理和管理伺服器。端點安全代理安裝在受監視的系統上,並負責收集與安全相關的數據。管理伺服器接收代理收集的數據並對其執行分析。
Wazuh 已與 Elastic Stack 完全集成,提供搜索引擎和數據可視化工具。此集成允許用戶瀏覽其安全警報並從收集的數據中獲得見解。
地址:https://github.com/wazuh/wazuh
x64dbg
x64dbg 是專為 Windows 操作系統設計的開源二進制調試器。它側重於在源代碼不可用時對惡意軟件進行分析或對可執行文件進行逆向工程。
x64dbg 的主要功能包括:
可定制性:用戶可以 C++ 編寫插件,自定義顏色,並根據自己的需要調整首選項。
x64/x32 支持:可以同時處理 x64 和 x32 應用程序,提供統一的調試接口。
基於開源庫構建:x64dbg 使用 Qt、TitanEngine、Zydis、Yara、Scylla、Jansson、lz4、XEDParse、asmjit 和 snowman。
開發簡單:該軟件使用 C++ 和 Qt 開發,可以有效地添加新功能。
可腳本性:x64dbg 具有集成且可調試的類似 ASM 的腳本語言。
社區智慧:x64dbg 的許多功能都是由逆向工程社區構思或實現的。
可擴展性:用戶可以創建插件來添加自定義腳本命令或集成外部工具。