如何使用開源安全工具保護運營環境

胡立

開源安全工具已經取得了長足的進步，并且可以像其他安全工具一樣有效。然而，只使用開源工具可能會有缺點，因此混合模式可能是最好的選擇。

盡管開源工具仍然是許多組織更不可或缺的一部分，但開源安全工具（從入侵檢測和防護到防火墻的開源版本）的使用花費了更長的時間。

因此，組織能否僅使用開源工具來保護其運營環境？這個答案是肯定的，但是很復雜。這取決于組織的IT員工的經驗，組織愿意花費多少費用以及對風險的承受能力。

非營利性開放網絡應用程序安全項目基金會全球董事會主席、德勤公司滲透測試高級經理Owen Pendlebury說：“在大多數情況下，開源安全工具與專有工具一樣有效或幾乎一樣有效，這是因為，與專有工具不同，開源工具是由活躍且參與其中的社區人員維護的，其中許多都是專家。”

事實上，開源安全在短時間內取得了長足的進步。在過去的十年中，供應商聯合起來促進開源安全性，并且經常與聯盟合作。開放網絡安全聯盟（OCA）就是其中之一。為了改善網絡安全生態系統中的互操作性，開放網絡安全聯盟在2020年2月引入了開放源消息傳遞框架的安全工具，以幫助網絡安全軟件之間進行數據和命令共享。還有其他活躍的組織，例如非營利組織和全球CERT社區，他們正在資助開源安全工具的開發。

IBM公司安全威脅管理首席架構師JasonKeirstead說：“與12或18個月前相比，開源安全工具的數量和質量都有了相當迅速的發展。而在2～3年前這個答案卻完全不同。”

使用開源安全工具有很多好處。由于他們經常受到開發人員的評審，因此他們會保持更新，并提供完整的文檔。另外，他們往往更靈活，允許IT員工在專有環境的范圍之外工作。

但這并不總是很順利。例如，組織無法控制修補程序和發布時間表，這意味著存在被入侵的風險。

盡管該代碼通常會被許多人審查，但它仍然可能包含漏洞。實際上，開源工具與專有工具一樣存在相同類型的漏洞。例如，擁有數百萬行代碼的龐大代碼庫會使他們難以檢測。Pendlebury指出，漏洞還可以作為不良編碼實踐的一部分而引入，這些實踐建立在可能不安全性的情況下開發的傳統代碼庫基礎上，或者使用已知漏洞或配置錯誤的第三方庫。

而且它并不總是成本最低。盡管開源工具是免費的，但這并不意味著沒有成本，重要的是要考慮將工具集成到組織的環境中并持續維護所花費的時間。

Keirstead說，“當使用純開放源代碼工具時，實施者將承擔很多支持、集成和維護工作，調查數據表明，網絡安全團隊會雇用人員進行安全操作。如果已經使用現有的受支持的商業工具，想象一下，如果沒有對這些工具的商業支持，而且這些工具都是基于社區的，組織必須自己解決，那么會增加大量工作量。”

盡管有很多安全功能是開源工具的理想之選，但選擇它可能需要付出代價。

Pivot Point安全公司安全評估業務負責人Mike Gargiullo解釋說：“在網絡上的大多數地方，開源產品和付費產品將做大致相同的工作。防火墻或者會讓某人進入，或者不會進入。入侵防御系統（IPS）會看到某些東西，或者不會看到某物。否則，還會有其他安全層可以提供保護您。但是，當今大多數攻擊都發生在臺式機和端點上，通常是用戶單擊某些內容或下載某些內容時發生的。這是一個風險級別的問題。”

但是，在很多地方使用開源安全工具都是有意義的。防火墻就是一個很好的例子。例如，許多中小型公司使用諸如pfSense之類的開源工具。安全信息和事件管理（SIEM）系統如OSSIM和日志聚合工具，如Graylog也是如此。

這些工具確實可以完成任務，但是他們并不具備付費工具的所有功能。例如，開源防火墻功能完善，但是要獲得儀表板和更多自動化功能，通常是需要付費的專業版本。

Gargiullo說：“如果使用開放源代碼安全工具，則必須做更多的工作，所以基本上是把預算換成實際操作時間和配置工作。”

例如，Gargiullo指出了廣受好評的入侵檢測和防御工具OSSEC。雖然該工具非常出色，并具有許多功能，但它需要人工將更改的信息添加到配置文件中。

有一些良好的經驗法則可以遵循。Keirstead建議說，“這需要大量的研究。首先，需要確保對用例以及要解決的問題有清晰的了解，然后再尋求解決方案。由于涉及所有的集成、修補、安全性和正常運行時間，因此選擇最簡單的工具來滿足當前用例的需求是很有意義的。最后，查看文檔，它應該是完整的并且最近更新的。

判斷是否找到了一個好工具的方法是它是否提供支持。Gargiullo說，最成功的開源項目有巨大的支持社區。

大多數公司將開源安全工具與供應商工具相結合、匹配，將會獲得更大的成功。在開源工具上構建的供應商工具尤其如此。從某種意義上說，這是兩全其美的選擇。

Keirstead說，“這將具有更大的運營自由度和獨立性，以及主要供應商的穩定支持，這些供應商建立在開源基礎上，并將其集成到他們的生態系統中。”

在大多數情況下，這取決于組織的IT團隊適應什么，必須花費多少費用，以及能夠承受多少風險。

Gargiullo說，“如果組織擁有一支技術合理的IT團隊，則可以使用開源工具完成90 %或更多的安全配置。從理論上說，可以做到100 %。”

Pendlebury說，無論組織選擇開源、混合模式還是專有軟件，最重要的是找到適合這份工作的工具。其關鍵問題包括：

①解決方案是否能滿足需求，它是解決方案的主要功能還是次要功能？

②是否有其他選擇？如果是這樣，他們如何排名？一些開源工具的排名超過了私有工具，反之亦然。

③當前版本是否有任何漏洞？如果存在，是否正在制定補救計劃？

④管理和維護該工具的人員配置備要求是什么？

在選擇工具之后，需要確保記錄控制環境，創建所用庫的日志、訂閱威脅公告和更新并記錄工具的功能，以便安全團隊可以有效地使用他們。Pendlebury說，其他重要任務包括開發用于審核和測試軟件、接收漏洞和更新信息以及向社區提供反饋，以盡可能保持工具的有效性。