借助這些開源工具,企業在網絡安全建設時可以實現更好的成本收益,因為這些網絡安全項目會由專門的貢獻者開發和維護,并提供有價值的工具、框架和資源來推動其更好地實踐應用。根據項目的星級和關注度,國外安全研究機構收集整理了目前GitHub上較熱門的20個網絡安全項目。
1.ATT&CK Navigator
ATT&CK Navigator項目旨在幫助用戶以類似Excel的方式,導航和注釋ATT&CK矩陣。它提供了一種可視化防御覆蓋、監控紅/藍隊活動和跟蹤技術頻率的方法,用戶只需要便捷操作矩陣中的單元格即可使用,例如添加注釋或著色編碼。該項目的主要特征是能夠創建被稱為“層”(Layer)的自定義視圖,以提供基于ATT&CK知識庫的個性化透視圖。“層”可以交互方式或編程方式創建,然后使用Navigator進行可視化。
傳送門:https://github.com/mitre-attack/attack-navigator
2.Cryptomator
Cryptomator是一個開源多云(multi-platform)安全服務項目,為存儲在云中的文件提供客戶端加密。不同于許多云提供商通常只在傳輸過程中加密數據或自己保留解密密鑰,Cryptomator項目確保只有最終用戶才能夠擁有其數據的密鑰。這種方法可以將密鑰盜竊、復制或濫用的風險降至最低。此外,Cryptomator還允許用戶從他們的個人終端設備訪問遠程工作所需的各類企業文件。
傳送門:https://github.com/cryptomator/cryptomator
3.Cutter
Cutter是一個免費的開源逆向安全工程項目,使用了Rizin作為其核心引擎。這使用戶能夠通過圖形用戶界面(GUI)或第三方集成終端進行功能訪問。Cutter項目還提供了廣泛的小組件和功能,大大提高了逆向工程研究中的舒適度。它的公開發行版與本地Ghidra反編譯器完全集成,從而消除了使用者對Java工具的需求。
傳送門:https://github.com/rizinorg/cutter
4.Dismap
Dismap是一種用于企業數字化資產發現和識別的工具,主要適用于Web、TCP和UDP等協議。它可以檢測多種資產類型,并適用于組織的內部網絡和外部網絡。Dismap可以協助紅隊人員識別潛在的風險資產,并支持藍隊人員檢測可疑的脆弱資產。
在Dismap的指紋規則庫中,全面包含了TCP、UDP和TLS協議指紋,以及超過4500條常見的Web指紋規則。這些規則有助于識別文件中的圖標、正文、頁眉和其他相關組件等元素。
傳送門:https://github.com/zhzyker/dismap
5.Faraday
Faraday是一個開源的漏洞管理器項目,旨在幫助安全分析師發現漏洞并進行相關的修復工作。它提供了一個統一的平臺來幫助安全專業人員更好地發現漏洞,還可以簡化組織工作的過程。Faraday主要通過終端設備使用,允許用戶在多用戶環境中利用第三方工具。
Faraday的一個關鍵特征是它能夠以標準化的模式集成到各類應用,并且訪問其中的數據。這使網絡安全管理人員和分析師能夠通過第三方可視化工具來分析數據,以強化對漏洞的理解,并幫助決策過程。
傳送門:https://github.com/infobyte/faraday
6.Hayabusa
Hayabusa是一個Windows事件日志快速取證和威脅狩獵工具。它是用Rust編程語言實現的,并結合了多線程技術來優化運行速度。該工具還具有將Sigma規則轉換為Hayabusa規則格式的功能。在實際應用中,使用者可以用YAML編寫與Hayabusa兼容的檢測規則,因此可以非常輕松地定制和擴展。Hayabusa可以以多種方式使用,包括對單個系統進行實時分析和離線分析,或者與Velociraptor一起用于企業范圍的威脅搜索和事件響應。Hayabusa輸出的報告可以被輕松整合到單個CSV時間軸中,便于在LibreOffice、timeline Explorer、Elastic Stack、Timesketch等流行工具中進行分析。
傳送門:https://github.com/Yamato-Security/hayabusa
7. ImHex
ImHex是一個十六進制的數據編輯器工具,主要用于顯示、解碼和分析二進制數據,以逆向工程其格式,提取其中的信息或補丁值,該項目有許多高級功能:完全自定義的二進制模板和模式語言,可用于解碼和突出顯示數據中的結構;基于圖形節點的數據處理器,可用于在顯示值之前對其進行預處理;提供差分支持、書簽等功能。同時,ImHex在GPLv2許可下是完全免費和開源的。
傳送門:https://github.com/WerWolv/ImHex
8.Kubescape
Kubescape是一個開源的Kubernetes安全平臺,適用于IDE、CI/CD管道和集群。它提供了諸如風險分析、安全評估、遵從性檢查和錯誤配置檢測等功能。Kubescape可以掃描各種組件,包括集群、YAML文件和Helm圖。它還利用了多個框架,如NSA-CISA、MITRE ATT&CK和CIS Benchmark來識別錯誤配置。
傳送門:https://github.com/kubescape/kubescape
9.Matano
Matano是一個開源的云原生安全資源池平臺,可以作為傳統網絡安全信息和事件管理(SIEM)的替代方案。它支持在AWS公有云平臺上進行大規模pb級的威脅搜索、檢測、響應和網絡安全分析。通過使用Matano項目,用戶可以應用基于攝取方法的S3(簡單存儲服務)或SQS(簡單隊列服務)收集數據。它可以預先配置數據源,如CloudTrail、Zeek和Okta,還可以自動從所有SaaS數據源檢索日志數據。
傳送門:https://github.com/matanolabs/matano
10.Malwoverview
Malwoverview是一個用于威脅搜索的工具。它旨在提供惡意軟件樣本、URL、IP地址、域名、惡意軟件家族、威脅妥協指標(IOC)和哈希的初始和快速評估。它可以為用戶生成動態和靜態的行為分析報告,并允許用戶從不同的端點提交和下載示例。它還可以作為已建立沙箱的客戶端,實現對潛在威脅的更深入分析。
傳送門:https://github.com/alexandreborges/malwoverview
11.Metasploit Framework
Metasploit Framework是一個基于Ruby的模塊化滲透測試平臺,允許用戶編寫、測試和執行漏洞利用代碼。由于該項目包含一套用于測試安全漏洞、網絡枚舉、攻擊執行和檢測逃避的工具,因此本質上看,它是一個廣泛應用的網絡安全工具集合,可以為滲透測試和漏洞利用開發提供一個完整的測試環境。
傳送門:https://github.com/rapid7/metasploit-framework
12.MISP
MISP是一個開源軟件解決方案,主要用于收集、存儲、分發和共享與網絡安全事件相關的指標數據和威脅視圖。它可以為事件分析師、安全和ICT專業人員或惡意軟件逆向工程員提供很多幫助,以支持他們的日常操作,并有效地共享結構化信息。
MISP項目的主要目標是促進安全社區內外的結構化信息共享。它提供了各種安全功能,使網絡入侵檢測系統(NIDS)、基于日志的入侵檢測系統(LIDS)、日志分析工具和SIEM系統等能夠非常快捷地交換信息和利用信息。
傳送門:https://github.com/MISP/MISP
13.Nidhogg
Nidhogg是一個為安全紅隊設計的rootkit工具,提供各種功能來支持紅隊的實戰化工作。它是一個集所有功能于一身且用戶友好的rootkit,可以被輕松集成到用戶的C2框架中。Nidhogg可以兼容x64版本的Windows 10和Windows 11,其數據存儲庫包括一個內核驅動程序和一個用于通信的C++標頭文件。
傳送門:https://github.com/Idov31/Nidhogg
14.RedEye
RedEye是由CISA和美國能源部西北太平洋國家實驗室聯合創建的開源安全分析工具。它的目的是支持紅隊分析和報告C2活動。它可以幫助安全運營人員評估緩解策略,將復雜的數據可視化,并根據紅隊的評估結果做出明智的決策。該工具可以幫助用戶更好地解析日志,特別是由Cobalt Strike生成的日志,并以易于理解的方式呈現數據。用戶能夠輕松對工具中顯示的活動進行標記和評論,從而增強協作和分析。RedEye還提供了一種展示模式,允許用戶向利益相關者展示他們的發現和工作流程。
傳送門:https://github.com/cisagov/RedEye
15.SpiderFoot
SpiderFoot是一個開源智能自動化(OSINT)工具,可以集成多種數據源,采用多種數據分析方法,便于對收集到的信息進行綜合分析和使用。SpiderFoot是一個嵌入式的web應用服務,提供了一個非常友好的、基于Web的用戶交互界面。另外,用戶也可以完全通過命令行操作它。該工具是用Python 3編寫的,并在MIT許可下發布。
傳送門:https://github.com/smicallef/spiderfoot
16.System Informer
System Informer是一個免費的多功能開源安全工具,可以幫助用戶監控系統運行資源、調試軟件功能和檢測惡意軟件。它的主要應用特點包括:
清楚的概述正在運行的進程和資源使用情況;
詳細的系統信息和圖表;
提供標準化的查看和編輯服務;
大量對調試和分析軟件有用的其他特性。
傳送門:https://github.com/winsiderss/systeminformer
17.Tink
Tink是由Google的密碼學專家和安全工程師共同開發的開源加密數據庫。它提供了安全并友好的應用API,可以通過以用戶為中心的設計方法、仔細代碼審查以及完整的應用測試,最大限度地減少了使用中的常見錯誤。Tink項目的初衷就是幫助沒有密碼學背景的用戶安全地使用密碼技術,它已經被部署在谷歌的許多產品和系統中。
傳送門:https://github.com/google/tink
18.Vuls
Vuls是一個無代理的安全漏洞掃描工具,可以針對Linux、FreeBSD、Container、WordPress以及各種網絡設備進行安全漏洞的檢測和分析。在實際使用時,Vuls具有以下特點:
全面識別系統漏洞;
提供受影響應用的完整信息;
可以自動化方式進行漏洞檢測;
使用CRON等方法定期報告漏洞管理整體情況 。
傳送門:https://github.com/future-architect/vuls
19.Wazuh
Wazuh是一個免費的開源威脅檢測和響應平臺,提供關于威脅的預防、檢測和響應功能。它可用于保護各種環境中的工作負載安全,包括內部部署、虛擬化、容器化和基于云的設置。
Wazuh有兩個主要功能組件:端點安全代理和管理服務器,其中端點安全代理主要安裝在被監視的系統上,負責收集與安全相關的數據;管理服務器負責接收代理收集的數據并對其進行分析。Wazuh目前已經與Elastic Stack完全集成,提供了一個搜索引擎和數據可視化工具。這種集成允許用戶瀏覽他們的安全警報,并從收集的數據中獲得洞察力。
傳送門:https://github.com/wazuh/wazuh
20.x64dbg
x64dbg是一個為Windows操作系統設計的開源二進制調試器。它側重于在缺少源代碼的情況下對惡意軟件的分析和可執行文件的逆向工程。
x64dbg的主要應用特性包括:
可定制性:用戶可以用c++編寫插件,自定義顏色,并根據自己的需要調整首選項;
x64/x32支持:它可以處理x64和x32應用程序,為調試提供統一的接口;
基于開源庫:廣泛使用了Qt、TitanEngine、Zydis、Yara、Scylla、Jansson、lz4、XEDParse、asmjit和snowman;
開發簡單:該項目使用C++和Qt開發的,可以有效地添加新功能;
腳本屬性:x64dbg具有集成的、可調試的類ASM腳本語言;
社區意識:x64dbg的許多特性都是由逆向工程社區發起或實現的;
可擴展性:用戶可以創建插件來添加自定義腳本命令或集成外部工具。
傳送門:https://github.com/x64dbg/x64dbg
原文鏈接:https://www.helpnetsecurity.com/2023/06/08/github-cybersecurity-projects/
