在现代企业组织的网络安全建设中,安全运营团队无疑发挥着非常重要的作用。他们始终站在网络安全防护的第一线:部署防护工具、监控系统运行状态,并在威胁发生时进行应急响应。然而,要做好网络安全运营工作并不容易,只有借助大量先进的安全运营工具,组织才能不断提升安全运营的能力和效率。
本文收集汇总了目前最受安全运营人员欢迎的60种安全工具,它们较完整地覆盖了企业网络安全运营工作的各个方面,包括事件信息收集、漏洞扫描、漏洞管理和威胁检测等,能够有效帮助安全运营人员发现更多潜在的安全风险。
一、扫描/渗透测试工具(7款)
1、Vulnerability Manager Plus
这是一款集成的威胁和漏洞管理解决方案,可以通过即时检测来发现并修复漏洞,保护企业网络免受攻击。
2、OpenVAS
OpenVAS是一种包括多种威胁测试服务和工具的框架,提供了较全面且高效的漏洞扫描和漏洞管理解决方案。
3、Metasploit框架
这是一款主要用于针对远程目标设备开发和执行漏洞利用代码的常用网络安全工具,还包含了其他类型的重要子功能,主要包括Opcode数据库、shellcode归档及相关威胁研究资料。
4、Kali
Kali Linux是一个由Debian派生的Linux发行版,主要为数字取证和渗透测试而设计。Kali Linux预装许多安全性渗透测试程序,包括nmap(端口扫描器)、Wireshark(数据包分析器)、John the Ripper(密码破解器)以及Aircrack-ng(对无线局域网执行渗透测试的软件套件)等。
5、Scapy
这款工具基于Python的交互式数据包处理程序和库,提供了一个强大而灵活的工具集,可用于构建、发送和解析网络数据包。Scapy允许用户通过编写Python代码来创建和操作各种类型的网络数据包,例如TCP、UDP、ICMP等。
6、Pompen
这款开源网络安全工具是用Python开发,有一个高级搜索系统,能够自动搜索各大数据库中的安全漏洞,非常方便渗透测试工程师开展日常工作。其最新版本还可以执行数据库内的威胁搜索。
7、Nmap
这是一款用于网络发现和安全审计的免费开源工具,目前被广泛用于评估网络主机的安全性,识别网络上的开放端口和服务,以及执行网络扫描和主机发现操作。
二、安全监控/日志记录工具(8款)
8、Justniffer
这是一款网络协议分析器,可以捕获网络流量、以定制的方式生成日志、模拟Apache Web服务器日志文件、跟踪响应时间,并从HTTP流量中提取所有被截获的文件。
9、Httpry
这是一款专门用于显示和记录HTTP流量的数据包嗅探器,其目的不是执行分析本身,而是捕获、解析和记录流量,供后续的安全分析使用。它可以实时运行,显示解析的流量,也可以作为将结果录入到输出文件的守护进程来运行。这款产品具有轻量灵活的优点,可轻松适应不同的应用环境。
10、Ngrep
可以提供GNU grep的大多数常见功能,并将它们运用到网络层。Ngrep还支持pcap工具,允许用户指定扩展的正则或十六进制表达式,对照数据包的数据载荷进行匹配。
11、PassiveDNS
是目前应用最广泛的网络安全工具之一,可以被动地收集DNS记录,以帮助事件处理、网络安全监控和一般的数字取证。PassiveDNS还可以在内存中缓存/聚合重复的DNS应答,从而限制日志文件中的数据量,又不丢失DNS应答中的实质内容。
12、Sagan
该工具主要使用类似Snort的引擎和规则来分析日志(syslog/事件日志/snmptrap/netflow/等),它可以处理多种日志格式,包括syslog、事件日志、SNMP Trap、NetFlow等。
13、Node安全平台
该产品专注于提供Node.js应用程序的安全性分析和漏洞检测。它旨在帮助开发人员识别和修复Node.js应用程序中的安全漏洞,并提供一种简单而经济的方式来确保应用程序的安全性。
14、Ntopng
是一款网络流量探测器,它可以显示实时的网络使用情况,类似于流行的Unix命令"top"用于监视系统资源使用情况。
15、Fibratus
这是一款用于探索和跟踪Windows内核的工具。它能够捕获大多数Windows内核活动。Fibratus有非常简单的CLI,提供了启动内核事件流收集器、设置内核事件过滤器或运行名为filaments的轻量级Python模块。
三、网络(主机)入侵检测工具(12款)
16、Snort
Snort是一款免费开源网络入侵防御系统(NIPS)和网络入侵检测系统(NIDS),现在由Sourcefire开发维护。早在2009年,Snort就作为有史以来最出色的开源安全软件之一,跻身IT外媒《InfoWorld》的优秀开源产品目录。
17、Bro /Zeek
Bro现在更名为Zeek,是一个功能强大的网络分析框架,与传统的入侵检测系统(IDS)有很大的区别。
18、OSSEC
OSSEC是一个全面的开源HIDS工具,可执行日志分析、文件完整性检查、策略监控、rootkit检测、实时警报和主动响应,并可以在大多数操作系统上运行,包括Linux、MacOS、Solaris、HP-UX、AIX和Windows。该工具的文档完备,适合部署到中小企业。
19、Suricata
这是一款高性能的开源网络IDS、IPS和网络安全监控引擎,归社区运营的非盈利基金会开放信息安全基金会(OISF)所有。
20、Security Onion
这是用于Linux发行版的入侵检测、网络安全监控和日志管理的工具,主要基于Ubuntu,含有Snort、Suricata、Bro、OSSEC、Sguil、Squert、Snorby、ELSA、Xplico、NetworkMiner及其他许多安全工具。可通过快捷的安装向导为企业构建批量化的分布式传感器。
21、sshwatch
这是一个类似DenyHosts的安全工具,用Python编写,可以在日志中收集攻击者在攻击过程中的各种遗留信息。
22、Stealth
这是一款几乎不留下残余的文件完整性检查器,可以通过控制器从另一台机器上运行,攻击者很难知道文件系统在SSH上以定义的伪随机间隔进行检查。适合部署在中小企业。
23、AIEngine
这是新一代交互式/可编程Python/Ruby/Java/Lua数据包检测引擎,具有自动化学习、NIDS、DNS域分类、网络收集器和网络取证等功能。
24、Denyhosts
这是一个用于防止基于字典的SSH攻击和蛮力攻击的工具。它可以通过监视SSH登录尝试,并根据预先定义的规则和配置来阻止恶意的登录尝试。
25、Fail2Ban
这是一个非常受欢迎安全工具,它通过扫描日志文件来检测恶意行为,并采取相应措施来保护服务器免受攻击。
26、SSHGuard
这是一个用C语言编写的威胁检测软件,除了保护SSH服务外,它还可以保护其他服务免受恶意行为和暴力攻击。
27、Lynis
是一个面向Linux和Unix系统的开源安全审计工具,旨在帮助管理员评估和提高系统的安全性,并提供有关系统配置错误、漏洞和潜在风险的详细报告。
四、蜜罐/蜜网工具(11款)
28、HoneyPy
这是一个中低交互性的蜜罐,具有易于部署、使用插件扩展功能和采用自定义配置等特点。
29、Dionaea
该产品嵌入了Python脚本语言,可以使用libemu来检测shellcodes,并支持IPv6和TLS。
30、Conpot
这是一个ICS/SCADA蜜罐(Honeypot)工具,可以模拟和模仿工控系统(Industrial Control Systems)和SCADA(Supervisory Control and Data Acquisition)环境,以吸引潜在的攻击者并收集关于攻击行为的信息。
31、Amun
这是一个基于Python的低交互蜜罐(Honeypot)框架,用于模拟和捕获各种网络攻击行为,它能够吸引攻击者并记录他们的活动,以便分析和研究攻击手段。
32、Glastopf
这个蜜罐可以真实模拟出数千个漏洞,并从针对Web应用程序的攻击中收集数据。其背后的原理非常简单,主要是向利用web应用程序发起攻击的人员转发正确的响应。
33、Kippo
这是一个中等交互的SSH蜜罐(Honeypot),可专门用于记录蛮力攻击和模拟SSH登录过程。它的一个重要特点是能够全面记录攻击者执行的整个shell交互过程。
34、Kojoney
这是一个低交互的蜜罐,可以专门模拟SSH服务器。它是使用Python编写的,并使用Twisted Conch库作为守护进程。
35、HonSSH
这是一款高度交互的蜜罐解决方案,介于攻击者和蜜罐之间,创建两个独立的SSH连接。
36、Bifrozt
这是一个带DHCP服务器的NAT设备,可以会通过一块网卡直连到互联网,而另一块网卡连到内部网络。Bifrozt与其他标准NAT设备的区别在于,它能够在攻击者和蜜罐之间充当透明的SSHv2代理。
37、HoneyDrive
这是一个非常流行的Linux发行版蜜罐。它是一个虚拟设备(OVA),安装了Xubuntu Desktop 12.04.4 LTS版本。它含有10多个预安装预配置的蜜罐软件包,比如Kippo SSH蜜罐、Dionaea和Amun恶意软件蜜罐等。
38、Cuckoo Sandbox
这款开源软件可用于自动分析可疑文件,并使用自定义组件在隔离环境中运行时监测恶意进程的行为。
五、数据包捕获/取证工具(6款)
39、Tcpflow
这个工具可以捕获作为TCP连接流上的部分传输数据,并以方便协议分析和调试的方式存储这些数据。
40、Xplico
这是一个旨在从互联网流量中提取并捕获应用程序数据的工具。比如说,Xplico可以从pcap文件中提取电子邮件(POP、IMAP和SMTP协议)、所有HTTP内容、每个VoIP呼叫(SIP)、FTP和TFTP等。Xplico并不是网络协议分析器,而是开源的网络取证分析工具(NFAT)。
41、Moloch
这是一个开源的大规模IPv4数据包捕获(PCAP)、索引和数据库系统,可以为PCAP浏览、搜索和导出提供一个简单的web界面,并提供了允许直接下载PCAP数据和JSON格式的会话数据的API。Moloch无意取代IDS引擎,而是与它们一起以标准PCAP格式存储和索引所有网络流量,提供快速访问。Moloch可以部署在多种版本的系统上,并在扩展后可以处理每秒数千兆位的流量。
42、OpenFPC
这是一套由多种工具组合起来的轻量级完整数据包网络流量记录和缓冲系统,旨在帮助非专业用户在商用硬件上部署分布式网络流量记录器,同时将其整合到现有的警报和日志管理工具中。
43、Dshell
这是是一个网络取证分析框架,它能够支持插件的快速开发,以便进行对捕获的网络数据包的分析和解析。
44、Stenographer
这个数据包捕获解决方案旨在将所有数据包快速转到磁盘,然后提供对这些数据包子集的简单快速访问。
六、网络安全嗅探器工具(3款)
45、Wireshark
这个免费开源的流量包分析工具,主要用于网络故障排除、分析、通信协议开发以及用户教育。Wireshark与tcpdump非常相似,但有图形化前端,外加一些集成的排序和过滤选项。
46、Netsniff-ng
这是一个免费的Linux网络工具包,堪称瑞士军刀,可处理日常Linux网络任务,同时零复制机制也提升了其性能,因此在收发数据包时,内核不需要将数据包从内核空间复制到用户空间,反之亦然。
47、Live HTTP headers
这个免费的Firefox插件可以实时查看浏览器请求,它能够完整显示请求的整个标头,可用于查找实际的安全漏洞。
七、日志分析工具(3款)
48、Prelude
这是一个通用型的无代理安全信息和事件管理(SIEM)系统,可以独立收集、规范、分类、聚合、关联和报告与网络安全相关的各种类型事件,而不依赖触发这些事件的产品品牌或许可证。
49、OSSIM
这是一个开源的安全信息和事件管理系统,提供了安全专业人经常用到的安全日志分析与管理功能,包括事件收集、规范和关联等。
50、FIR
这是一个非常流行的网络安全事件管理平台,能够帮助企业组织快速进行安全事件响应和处理。
八、快速数据包处理(6款)
51、DPDK
这是一组用于快速处理数据包的库和驱动程序,它是一个开源项目,旨在提供高性能的数据包处理和网络功能虚拟化。
52、PFQ
这是一个为Linux操作系统设计的实用网络框架,能够支持高效的数据包捕获/传输(10G及以上)、内核中功能处理以及跨套接字/端点的数据包转向。
53、PF_RING
这是一种新型的网络套接字(socket)技术,旨在显著提高数据包捕获速度。它是一个开源项目,可以为高速数据包处理提供了一种有效的解决方案。
54、PF_RING ZC
这个灵活的数据包处理框架可以针对不同大小的数据包,支持实现1/10 Gbit的线路速率数据包处理(RX和TX)。它实现了零拷贝操作,包括进程间通信和虚拟机间(KVM)通信的模式。
55、PACKET_MMAP
这款工具可以在Linux环境中提升对数据包捕获和传输过程的性能。
56、netmap
这是一个面向高速数据包I/O处理的框架工具,它可以作为单一的内核模块使用,同时适用于FreeBSD、Linux和Windows系统。
九、其他网络安全工具(4款)
57、pfSense
这是一个基于FreeBSD的防火墙和路由器发行版,它提供了丰富的功能和灵活性,适用于各种网络安全和路由需求。
58、OPNsense
这是一个易于使用、易于构建、基于FreeBSD的开源防火墙和路由平台。OPNsense包括了商业版防火墙系统拥有的大多数功能。
59、SpamAssassin
这是一个功能强大且广泛使用的垃圾邮件过滤器,它采用多种检测技术来识别和过滤垃圾邮件。
60、OpenVPN
这个开源软件应用程序实现了虚拟专用网(VPN)技术,可用于在路由设备或远程访问设施中创建安全的点对点连接,它使用的自定义安全协议采用了SSL/TLS密钥交换。