如何使用开源安全工具保护运营环境

胡立

开源安全工具已经取得了长足的进步，并且可以像其他安全工具一样有效。然而，只使用开源工具可能会有缺点，因此混合模式可能是最好的选择。

尽管开源工具仍然是许多组织更不可或缺的一部分，但开源安全工具（从入侵检测和防护到防火墙的开源版本）的使用花费了更长的时间。

因此，组织能否仅使用开源工具来保护其运营环境？这个答案是肯定的，但是很复杂。这取决于组织的IT员工的经验，组织愿意花费多少费用以及对风险的承受能力。

非营利性开放网络应用程序安全项目基金会全球董事会主席、德勤公司渗透测试高级经理Owen Pendlebury说：“在大多数情况下，开源安全工具与专有工具一样有效或几乎一样有效，这是因为，与专有工具不同，开源工具是由活跃且参与其中的社区人员维护的，其中许多都是专家。”

事实上，开源安全在短时间内取得了长足的进步。在过去的十年中，供应商联合起来促进开源安全性，并且经常与联盟合作。开放网络安全联盟（OCA）就是其中之一。为了改善网络安全生态系统中的互操作性，开放网络安全联盟在2020年2月引入了开放源消息传递框架的安全工具，以帮助网络安全软件之间进行数据和命令共享。还有其他活跃的组织，例如非营利组织和全球CERT社区，他们正在资助开源安全工具的开发。

IBM公司安全威胁管理首席架构师JasonKeirstead说：“与12或18个月前相比，开源安全工具的数量和质量都有了相当迅速的发展。而在2～3年前这个答案却完全不同。”

使用开源安全工具有很多好处。由于他们经常受到开发人员的评审，因此他们会保持更新，并提供完整的文檔。另外，他们往往更灵活，允许IT员工在专有环境的范围之外工作。

但这并不总是很顺利。例如，组织无法控制修补程序和发布时间表，这意味着存在被入侵的风险。

尽管该代码通常会被许多人审查，但它仍然可能包含漏洞。实际上，开源工具与专有工具一样存在相同类型的漏洞。例如，拥有数百万行代码的庞大代码库会使他们难以检测。Pendlebury指出，漏洞还可以作为不良编码实践的一部分而引入，这些实践建立在可能不安全性的情况下开发的传统代码库基础上，或者使用已知漏洞或配置错误的第三方库。

而且它并不总是成本最低。尽管开源工具是免费的，但这并不意味着没有成本，重要的是要考虑将工具集成到组织的环境中并持续维护所花费的时间。

Keirstead说，“当使用纯开放源代码工具时，实施者将承担很多支持、集成和维护工作，调查数据表明，网络安全团队会雇用人员进行安全操作。如果已经使用现有的受支持的商业工具，想象一下，如果没有对这些工具的商业支持，而且这些工具都是基于社区的，组织必须自己解决，那么会增加大量工作量。”

尽管有很多安全功能是开源工具的理想之选，但选择它可能需要付出代价。

Pivot Point安全公司安全评估业务负责人Mike Gargiullo解释说：“在网络上的大多数地方，开源产品和付费产品将做大致相同的工作。防火墙或者会让某人进入，或者不会进入。入侵防御系统（IPS）会看到某些东西，或者不会看到某物。否则，还会有其他安全层可以提供保护您。但是，当今大多数攻击都发生在台式机和端点上，通常是用户单击某些内容或下载某些内容时发生的。这是一个风险级别的问题。”

但是，在很多地方使用开源安全工具都是有意义的。防火墙就是一个很好的例子。例如，许多中小型公司使用诸如pfSense之类的开源工具。安全信息和事件管理（SIEM）系统如OSSIM和日志聚合工具，如Graylog也是如此。

这些工具确实可以完成任务，但是他们并不具备付费工具的所有功能。例如，开源防火墙功能完善，但是要获得仪表板和更多自动化功能，通常是需要付费的专业版本。

Gargiullo说：“如果使用开放源代码安全工具，则必须做更多的工作，所以基本上是把预算换成实际操作时间和配置工作。”

例如，Gargiullo指出了广受好评的入侵检测和防御工具OSSEC。虽然该工具非常出色，并具有许多功能，但它需要人工将更改的信息添加到配置文件中。

有一些良好的经验法则可以遵循。Keirstead建议说，“这需要大量的研究。首先，需要确保对用例以及要解决的问题有清晰的了解，然后再寻求解决方案。由于涉及所有的集成、修补、安全性和正常运行时间，因此选择最简单的工具来满足当前用例的需求是很有意义的。最后，查看文档，它应该是完整的并且最近更新的。

判断是否找到了一个好工具的方法是它是否提供支持。Gargiullo说，最成功的开源项目有巨大的支持社区。

大多数公司将开源安全工具与供应商工具相结合、匹配，将会获得更大的成功。在开源工具上构建的供应商工具尤其如此。从某种意义上说，这是两全其美的选择。

Keirstead说，“这将具有更大的运营自由度和独立性，以及主要供应商的稳定支持，这些供应商建立在开源基础上，并将其集成到他们的生态系统中。”

在大多数情况下，这取决于组织的IT团队适应什么，必须花费多少费用，以及能够承受多少风险。

Gargiullo说，“如果组织拥有一支技术合理的IT团队，则可以使用开源工具完成90 %或更多的安全配置。从理论上说，可以做到100 %。”

Pendlebury说，无论组织选择开源、混合模式还是专有软件，最重要的是找到适合这份工作的工具。其关键问题包括：

①解决方案是否能满足需求，它是解决方案的主要功能还是次要功能？

②是否有其他选择？如果是这样，他们如何排名？一些开源工具的排名超过了私有工具，反之亦然。

③当前版本是否有任何漏洞？如果存在，是否正在制定补救计划？

④管理和维护该工具的人员配置备要求是什么？

在选择工具之后，需要确保记录控制环境，创建所用库的日志、订阅威胁公告和更新并记录工具的功能，以便安全团队可以有效地使用他们。Pendlebury说，其他重要任务包括开发用于审核和测试软件、接收漏洞和更新信息以及向社区提供反馈，以尽可能保持工具的有效性。