开源安全工具已经取得了长足的进步,并且可以与任何其他安全工具一样有效。但是,仅使用开源工具可能存在缺点,因此混合模式可能是最佳选择。采用开源安全工具——从入侵检测和预防到防火墙的开源版本——已经花费了更长的时间,尽管开源工具仍然是许多组织不可或缺的一部分。那么,组织能否仅使用开源工具来保护其操作环境?答案是肯定的,但是很复杂。这取决于您的IT人员的经验、您愿意花多少钱以及您对风险的承受能力。在大多数情况下,开源安全工具与专有工具一样有效或几乎一样有效,这是一个很大的优势,非营利组织开放Web应用程序安全项目(OWASP)基金会全球董事会主席兼渗透高级经理OwenPendlebury说在德勤测试。因为,与专有工具不同,开源工具由活跃且参与的人员社区维护,其中许多人是专家。事实上,开源安全在短时间内取得了长足的进步。在过去十年中,供应商联合起来促进开源安全,通常与联盟合作。开放网络安全联盟(OCA)就是其中之一。为了提高网络安全生态系统的互操作性,开放网络安全联盟(OCA)在2月份为开源消息传递框架引入了安全工具,以帮助网络安全软件之间共享数据和命令。还有其他活跃的组织,例如非营利组织和全球CERT社区,正在资助开源安全工具的开发。所有这些因素都改变了开源安全格局。那里有更多更好的工具,而且它们会越来越好。“与12或18个月前相比,开源安全工具的数量和质量都出现了相当快的发展,”IBM安全威胁管理首席架构师JasonKeirstead说。“两三年前,答案完全不同。”“使用开源安全工具有很多好处。由于开发人员经常审查它们,因此它们会保持更新和完整记录。此外,它们往往更灵活,允许IT人员在专有环境的范围之外工作。但并不总是一帆风顺。例如,组织无法控制补丁和发布时间表,这意味着存在被不良行为者入侵的风险。虽然代码通常会被很多人审查,但它仍然可能存在漏洞。事实上,开源工具与专有工具存在相同类型的漏洞。例如,拥有数百万行代码的庞大代码库会使它们难以检测。Pendlebury指出,漏洞也可能作为不良编码实践的一部分引入,这些实践建立在可能不考虑安全性而开发的遗留代码库的基础上,或者使用具有已知漏洞或错误配置的第三方库。而且它并不总是最便宜的。尽管开源工具是免费的,但这并不意味着没有成本。重要的是要考虑将工具集成到组织环境中并持续维护它们所花费的时间。“当使用纯开源工具时,实施者需要承担大量的支持、集成和维护工作,”Keirstead说。“我们的调查数据显示,网络安全团队雇佣进行安全操作的人员。如果你已经在使用现有的受支持的商业工具,想象一下如果没有对这些工具的商业支持,这些工具是基于社区的,组织必须弄清楚就他们自己而言,这会增加很多工作。”尽管有许多安全功能非常适合开源工具,但选择它可能要付出代价。与桌面或端点安全有关的任何事情都不是一个好的选择。PivotPointSecurity安全评估实践负责人MikeGargiullo解释说,“网络上的大多数其他地方,开源产品和付费产品将做大致相同的工作。防火墙要么让某人进入,要么它赢了't.入侵防御系统(IPS)要么看到某些东西,要么看不到。否则,还有其他安全层可以保护您。但是,当今大多数攻击都发生在桌面和端点上,通常是用户单击某些东西时发生或者下载一些东西。这是一个风险级别的问题。”选择什么工具?但是有很多地方使用开源安全工具是有意义的。防火墙就是一个很好的例子。例如,许多中小型公司使用pfSense等开源工具。安全也是如此信息和事件管理(SIEM)系统,如OSSIM和日志聚合工具,如Graylog。这些工具确实可以完成工作,但它们不具备付费工具的所有功能。例如,开源防火墙功能齐全,但要获得仪表板和更多自动化功能,您通常需要付费专业版。“如果您使用开源安全工具,您必须做更多的工作,所以您基本上是在用预算换取动手时间和配置工作,”Gargiullo说。例如,Gargiullo指出了广受好评的入侵检测和预防工具OSSEC。虽然该工具非常出色并且具有许多功能,但它需要人工将更改的信息添加到配置文件中。例如,赢dowsUpdate将要求某人使用配置文件的正确值更新配置文件。如果所有这些都不能阻止采用,那么开源安全工具的数量可能比人们想象的要多,因此很难为您的组织找到合适的工具。但是,有一些好的经验法则可以遵循。Keirstead建议,“这将需要大量研究。首先,你需要确保你清楚地了解用例和你试图解决的问题,然后再去寻找解决方案。因为你将负责对于所有集成、补丁、安全性和正常运行时间,因此选择满足您当前用例需求的最简单的工具是有意义的。最后,查看文档。它应该是完整的并且是最近更新的。一种判断方式如果你找到了一个好工具,那就是它是否提供支持。Gargiullo说,最成功的开源项目周围有巨大的支持社区。两全其美。大多数公司将开源安全工具与供应商相结合和匹配会取得更大的成功工具。基于开源工具构建的产品这对于供应商工具尤其如此。从某种意义上说,它是两全其美的。Keirstead说,“它将具有更大的操作自由度和独立性,以及m的稳定支持建立在开源基础上的主要供应商。”并将其整合到他们的生态系统中。“在大多数情况下,这取决于组织的IT团队适应什么,需要花费多少,以及可以承受多大的风险。”Gargiullo说,“如果一个组织拥有技术上完善的IT团队,90%的工作可以使用开源工具完成。“%或更多的安全配置。理论上,它可以100%完成,”Pendlebury说。无论组织选择开源、混合模型还是专有软件,最重要的是找到适合工作的工具。关键问题包括:解决方案是否满足需求,它是解决方案的主要还是次要特征?是否有替代方案?如果有,它们的排名如何?一些开源工具的排名高于专有工具,反之亦然。当前版本是否存在漏洞,如果存在,是否正在制定修复计划?管理和维护工具的人员配置要求是什么?选择工具后,你需要确保记录控制环境,创建所用库的日志,订阅威胁建议和更新并记录工具的功能,以便安全团队可以有效地使用它们。Pendlebury说,其他重要任务包括开发审计和测试软件、接收漏洞和更新信息,以及向社区提供反馈以使工具尽可能有效。
