胡立

開源安全工具已經(jīng)取得了長足的進步，并且可以像其他安全工具一樣有效。然而，只使用開源工具可能會有缺點，因此混合模式可能是最好的選擇。

盡管開源工具仍然是許多組織更不可或缺的一部分，但開源安全工具（從入侵檢測和防護到防火墻的開源版本）的使用花費了更長的時間。

因此，組織能否僅使用開源工具來保護其運營環(huán)境？這個答案是肯定的，但是很復雜。這取決于組織的IT員工的經(jīng)驗，組織愿意花費多少費用以及對風險的承受能力。

非營利性開放網(wǎng)絡應用程序安全項目基金會全球董事會主席、德勤公司滲透測試高級經(jīng)理Owen Pendlebury說：“在大多數(shù)情況下，開源安全工具與專有工具一樣有效或幾乎一樣有效，這是因為，與專有工具不同，開源工具是由活躍且參與其中的社區(qū)人員維護的，其中許多都是專家。”

事實上，開源安全在短時間內取得了長足的進步。在過去的十年中，供應商聯(lián)合起來促進開源安全性，并且經(jīng)常與聯(lián)盟合作。開放網(wǎng)絡安全聯(lián)盟（OCA）就是其中之一。為了改善網(wǎng)絡安全生態(tài)系統(tǒng)中的互操作性，開放網(wǎng)絡安全聯(lián)盟在2020年2月引入了開放源消息傳遞框架的安全工具，以幫助網(wǎng)絡安全軟件之間進行數(shù)據(jù)和命令共享。還有其他活躍的組織，例如非營利組織和全球CERT社區(qū)，他們正在資助開源安全工具的開發(fā)。

IBM公司安全威脅管理首席架構師JasonKeirstead說：“與12或18個月前相比，開源安全工具的數(shù)量和質量都有了相當迅速的發(fā)展。而在2～3年前這個答案卻完全不同?！?/p>

使用開源安全工具有很多好處。由于他們經(jīng)常受到開發(fā)人員的評審，因此他們會保持更新，并提供完整的文檔。另外，他們往往更靈活，允許IT員工在專有環(huán)境的范圍之外工作。

但這并不總是很順利。例如，組織無法控制修補程序和發(fā)布時間表，這意味著存在被入侵的風險。

盡管該代碼通常會被許多人審查，但它仍然可能包含漏洞。實際上，開源工具與專有工具一樣存在相同類型的漏洞。例如，擁有數(shù)百萬行代碼的龐大代碼庫會使他們難以檢測。Pendlebury指出，漏洞還可以作為不良編碼實踐的一部分而引入，這些實踐建立在可能不安全性的情況下開發(fā)的傳統(tǒng)代碼庫基礎上，或者使用已知漏洞或配置錯誤的第三方庫。

而且它并不總是成本最低。盡管開源工具是免費的，但這并不意味著沒有成本，重要的是要考慮將工具集成到組織的環(huán)境中并持續(xù)維護所花費的時間。

Keirstead說，“當使用純開放源代碼工具時，實施者將承擔很多支持、集成和維護工作，調查數(shù)據(jù)表明，網(wǎng)絡安全團隊會雇用人員進行安全操作。如果已經(jīng)使用現(xiàn)有的受支持的商業(yè)工具，想象一下，如果沒有對這些工具的商業(yè)支持，而且這些工具都是基于社區(qū)的，組織必須自己解決，那么會增加大量工作量。”

盡管有很多安全功能是開源工具的理想之選，但選擇它可能需要付出代價。

Pivot Point安全公司安全評估業(yè)務負責人Mike Gargiullo解釋說：“在網(wǎng)絡上的大多數(shù)地方，開源產(chǎn)品和付費產(chǎn)品將做大致相同的工作。防火墻或者會讓某人進入，或者不會進入。入侵防御系統(tǒng)（IPS）會看到某些東西，或者不會看到某物。否則，還會有其他安全層可以提供保護您。但是，當今大多數(shù)攻擊都發(fā)生在臺式機和端點上，通常是用戶單擊某些內容或下載某些內容時發(fā)生的。這是一個風險級別的問題?！?/p>

但是，在很多地方使用開源安全工具都是有意義的。防火墻就是一個很好的例子。例如，許多中小型公司使用諸如pfSense之類的開源工具。安全信息和事件管理（SIEM）系統(tǒng)如OSSIM和日志聚合工具，如Graylog也是如此。

這些工具確實可以完成任務，但是他們并不具備付費工具的所有功能。例如，開源防火墻功能完善，但是要獲得儀表板和更多自動化功能，通常是需要付費的專業(yè)版本。

Gargiullo說：“如果使用開放源代碼安全工具，則必須做更多的工作，所以基本上是把預算換成實際操作時間和配置工作?！?/p>

例如，Gargiullo指出了廣受好評的入侵檢測和防御工具OSSEC。雖然該工具非常出色，并具有許多功能，但它需要人工將更改的信息添加到配置文件中。

有一些良好的經(jīng)驗法則可以遵循。Keirstead建議說，“這需要大量的研究。首先，需要確保對用例以及要解決的問題有清晰的了解，然后再尋求解決方案。由于涉及所有的集成、修補、安全性和正常運行時間，因此選擇最簡單的工具來滿足當前用例的需求是很有意義的。最后，查看文檔，它應該是完整的并且最近更新的。

判斷是否找到了一個好工具的方法是它是否提供支持。Gargiullo說，最成功的開源項目有巨大的支持社區(qū)。

大多數(shù)公司將開源安全工具與供應商工具相結合、匹配，將會獲得更大的成功。在開源工具上構建的供應商工具尤其如此。從某種意義上說，這是兩全其美的選擇。

Keirstead說，“這將具有更大的運營自由度和獨立性，以及主要供應商的穩(wěn)定支持，這些供應商建立在開源基礎上，并將其集成到他們的生態(tài)系統(tǒng)中?！?/p>

在大多數(shù)情況下，這取決于組織的IT團隊適應什么，必須花費多少費用，以及能夠承受多少風險。

Gargiullo說，“如果組織擁有一支技術合理的IT團隊，則可以使用開源工具完成90 %或更多的安全配置。從理論上說，可以做到100 %。”

Pendlebury說，無論組織選擇開源、混合模式還是專有軟件，最重要的是找到適合這份工作的工具。其關鍵問題包括：

①解決方案是否能滿足需求，它是解決方案的主要功能還是次要功能？

②是否有其他選擇？如果是這樣，他們如何排名？一些開源工具的排名超過了私有工具，反之亦然。

③當前版本是否有任何漏洞？如果存在，是否正在制定補救計劃？

④管理和維護該工具的人員配置備要求是什么？

在選擇工具之后，需要確保記錄控制環(huán)境，創(chuàng)建所用庫的日志、訂閱威脅公告和更新并記錄工具的功能，以便安全團隊可以有效地使用他們。Pendlebury說，其他重要任務包括開發(fā)用于審核和測試軟件、接收漏洞和更新信息以及向社區(qū)提供反饋，以盡可能保持工具的有效性。