开源工具是网络安全发展的核心动力之一,除了商业安全产品中使用的大量开源代码外,网络安全行业大量网络安全框架、工具、方法、模型甚至情报都以开源方式分享和发展。开源安全项目对于推动网络安全技术的创新和标准化正发挥着越来越重要的作用。
以下,我们整理了近年来发布的30个不容错过的优秀开源安全项目,覆盖大语言模型安全、渗透测试、漏洞扫描和网络监控、加密和事件响应的各个领域,可帮助个人和企业在新的一年中更好地保护其数字资产:
AI安全
LLM Guard:可用于生产环境的大语言模型开源安全工具
LLM Guard是一个保护和强化大型语言模型(LLM)安全性的开源工具包,专为在生产环境中集成和部署而设计。LLM Guard为大语言模型的输入和输出内容提供了全面的评估和保护功能,包括清理、有害语言和数据泄漏检测以及防止提示注入和越狱攻击。
LLM Guard可用于防护和强化任何应用于生产环境的大语言模型,包括ChatGPT、Claude、Bard等基础模型。
地址:https://github.com/laiyer-ai/llm-guard
Vigil:开源LLM安全扫描器
Vigil是一款开源安全扫描程序,可检测提示注入、越狱以及对大型语言模型(LLM)的其他潜在威胁。该工具还提供自托管所需的检测签名和数据集。
地址:https://github.com/deadbits/vigil-llm
渗透测试
SessionProbe:开源多线程渗透测试工具
SessionProbe是一款多线程渗透测试工具,旨在评估Web应用程序中的用户权限。它获取用户的会话令牌并检查URL列表(如果可以访问),突出显示潜在的授权问题。它可以删除重复的URL列表并提供实时日志记录和进度跟踪。
地址:https://github.com/dub-flow/sessionprobe
BloodHound CE 5.0
SpecterOps发布的BleedHound CE(社区版)5.0版本是一种免费的开源渗透测试解决方案,可映射Microsoft Active Directory (AD)和Azure(包括Azure AD/Entra ID)环境中的攻击路径。
新版BloodHound CE增加了许多企业级可用性功能,例如容器化部署、REST API、用户管理和访问控制。它还显著提高了性能,简化了开发,从而加快了开发速度。
地址:https://github.com/BloodHoundAD
GOAD:用于练习攻击技术的Active Directory实验环境
Gameof Active Directory (GOAD)是一个免费的渗透测试实验室。它为渗透测试人员提供了一个易受攻击的Active Directory环境来练习常见的攻击方法。
地址:https://github.com/Orange-Cyberdefense/GOAD
红队/蓝队
ATT&CK Navigator
ATT&CK Navigator是ATT&CK矩阵的导航和注释工具,使用方法类似于Excel。它提供了一种可视化防守覆盖范围、以及计划和跟踪红/蓝团队活动和技术的方法。它还支持用户操作矩阵单元格,例如添加注释或颜色编码。
ATT&CK Navigator的主要功能是创建自定义图层,提供ATT&CK知识库的个性化视角。用户可通过交互方式或编程方式创建图层,然后使用导航器进行可视化。
地址:https://github.com/mitre-attack/attack-navigator
Dismap:资产发现与识别
Dismap是一个资产发现和识别工具,支持Web、TCP和UDP等协议,可检测各种资产类型,适用于内部和外部网络。Dismap能协助红队人员识别潜在风险资产,并支持蓝队人员检测可疑的脆弱资产。
Dismap的指纹规则库包含TCP、UDP和TLS协议指纹,以及4500多个Web指纹规则。这些规则有助于识别元素,例如网站图标、正文、标题和其他相关组件。
地址:https://github.com/zhzyker/dismap
Nidhogg:专为红队设计的rootkit
Nidhogg是为红队设计的rootkit,整合多种功能且用户友好,仅通过一个header文件即可轻松集成到红队的C2框架中。
Nidhogg与x64版本的Windows10和Windows11兼容。存储库包括一个内核驱动程序和一个用于通信目的的C++头文件。
地址:https://github.com/Idov31/Nidhogg
RedEye:红队分析和报告工具
RedEye是CISA和能源部太平洋西北国家实验室开发的开源分析工具。其目的是支持红队分析和报告指挥和控制活动。它帮助运营者评估缓解策略,可视化复杂数据,并根据红队评估的结果做出明智的决策。
该工具旨在解析日志,特别是由Cobalt Strike生成的日志,并以易于理解的用户友好格式呈现数据。用户可以标记工具中显示的活动并添加注释,从而增强协作和分析。RedEye还提供演示模式,允许操作员向利益相关者展示他们的发现和工作流程。
地址:https://github.com/cisagov/RedEye
Nemesis:开源攻击性数据富化和分析平台
Nemesis是一个集中式数据处理平台,可摄取、富化攻击性安全评估数据(即渗透测试和红队参与期间收集的数据)并对其进行分析。
Nemesis旨在自动化操作员在交战中遇到的许多重复性任务,增强操作员的分析能力和集体知识,并创建尽可能多的操作数据的结构化和非结构化数据存储,以帮助指导未来的研究并促进进攻性数据分析。
地址:https://github.com/SpecterOps/Nemesis
威胁情报
Mosint:开源自动化电子邮件OSINT工具
Mosint是一款用Go编写的自动化电子邮件OSINT工具,旨在促进对目标电子邮件的快速高效调查。它集成了多种服务,使安全研究人员能够快速访问广泛的信息。
Mosint与其他工具的最重要区别在于它的速度和集成度。它从多个服务异步提取数据,并且使用简单。
地址:https://github.com/alpkeskin/mosint
Yeti:开放、分布式、威胁情报存储库
Yeti是一个统一平台,用于整合可观察数据、妥协指标、TTP和威胁相关知识。它会自动增强可观察的结果,例如域解析和IP地理定位,从而节省您的精力。凭借其基于Bootstrap构建的用户友好界面和机器友好的Web API,Yeti能确保个人和集成工具的流畅交互。
地址:https://github.com/yeti-platform/yeti
SpiderFoot:OSINT自动化工具
SpiderFoot是一个开源情报(OSINT)自动化工具。它与各种数据源集成,并采用多种数据分析方法,便于对收集的信息进行导航。
SpiderFoot集成了嵌入式Web服务器,可提供用户友好的基于Web的界面,用户也可以选择完全通过命令行进行操作。该工具用Python 3编码,并在MIT许可下发布。
地址:https://github.com/smicallef/spiderfoot
云原生应用安全
CNAPPgoat:开源云原生安全测试工具
CNAPPgoat支持AWS、Azure (Microsoft Entra ID)和GCP平台,用于评估云原生应用程序保护平台(CNAPP)的安全功能。能帮助企业在易于部署和销毁的交互式沙箱环境中测试其云安全技能、流程、工具和状态。
与其它发现潜在攻击路径的云安全测试工具不同,CNAPPgoat提供了一个庞大且不断扩展的场景库。
地址:https://github.com/ermetic-research/cnappgoat.git
K8s安全
k0smotron:开源K8s集群管理
开源解决方案k0smotron适合企业进行生产级K8s集群管理,提供两个支持选项。
管理平面和工作平面不必在同一基础设施提供商上运行,这使得k0smotron成为整合K8s控制平面以实现边缘、混合和多云部署的理想选择。此外,这使得将K8s控制平面设置为临时Pod成为可能,这些Pod可以随着工作负载需求的变化而启动或关闭。
地址:https://github.com/k0sproject/k0smotron
Kubescape 3.0提升开源K8s安全性
针对DevSecOps从业者或平台工程师的开源Kubernetes安全平台Kubescape已更新到3.0版本。
Kubescape是第一个用于测试K8s是否按照NSA和CISA的Kubernetes Hardening Guidance中的定义安全部署的工具。用户可根据NSA、MITRE、Devops Best等多个框架检测错误配置,还可以创建自己的框架。
最近的调查显示,51%的镜像中存在漏洞,使用kubescape不仅可以扫描容器镜像中的漏洞,还可以查看kubescape漏洞的严重性和最易受攻击的图像,并优先修复它们。
地址:https://github.com/kubescape/kubescape
数据安全
Cryptomator:云数据客户端加密
Cryptomator是一个开源跨平台工具,为存储在云中的文件提供客户端加密。
与许多云提供商提供的加密服务不同(云提供商通常仅在传输过程中加密数据或保留解密密钥本身),Cryptomator确保只有用户拥有其数据的密钥。这种方法可将密钥被盗、复制或滥用的风险降至最低。
Cryptomator还支持用户从任何设备访问他们的文件。
地址:https://github.com/cryptomator/cryptomator
Tink:Google开发的加密API
Tink是由Google密码学家和安全工程师开发的开源加密库,提供安全且用户友好的API,通过以用户为中心的设计方法、严谨的实现和代码审查以及彻底的测试来最大限度地减少常见错误。
Tink专门设计用于帮助没有加密背景的用户安全地执行加密任务,已部署在Google的众多产品和系统中。
地址:https://github.com/google/tink
事件调查与响应
AWS Kill Switch:开源事件响应工具
AWS Kill Switch是一种开源事件响应工具,用于在安全事件期间快速锁定AWS账户和IAM角色。当攻击者已经获得IAM角色并触发SOC警报时,工程师可以使用此工具(或从该工具借用代码作为其工具的一部分)分离所有策略并立即删除角色(注意:删除策略、删除角色以及在生产中应用SCP可能会破坏应用程序)。
地址:https://github.com/secengjeff/awskillswitch
Velociraptor:快速数字取证和事件响应
Velociraptor是一款先进的数字取证和事件响应工具,旨在提高用户对端点活动的洞察力。该工具支持用户同时跨多个端点精确、快速地收集数字取证数据。
地址:https://github.com/Velocidex/velociraptor
Malwoverview:流行的威胁狩猎工具
Malwoverview是流行的威胁狩猎工具,可用于恶意软件样本、URL、IP地址、域、恶意软件系列、IOC和哈希的初始和快速评估。
它提供了生成动态和静态行为报告的功能,并允许用户从各种端点提交和下载样本。Malwoverview还可以充当已有沙盒的客户端,能够有效分析潜在威胁。
地址:https://github.com/alexandreborges/malwoverview
恶意软件分析、逆向工程
BinDiff:二进制文件的开源比较工具
BinDiff是一个二进制文件比较工具,可以快速查找反汇编代码中的差异和相似之处,可用于识别并隔离供应商提供的补丁中的漏洞修复。您还可以在同一二进制文件的多个版本的反汇编之间移植符号和注释,或使用BinDiff收集代码盗窃或专利侵权的证据。
地址:https://github.com/google/bindiff
ImHex:二进制数据分析工具
ImHex是一个十六进制编辑器:一种显示、解码和分析二进制数据的工具,以对其格式进行逆向工程,提取信息或打补丁。
ImHex提供很多高级功能,例如:完全自定义的二进制模板和模式语言、用于解码和突出显示数据中的结构、基于图形节点的数据处理器、用于在显示值之前对其进行预处理、反汇编器、差异支持、书签等等。ImHex在GPLv2许可证下开源。
地址:https://github.com/WerWolv/ImHex
x64dbg:专为Windows设计的二进制调制器
x64dbg是专为Windows操作系统设计的开源二进制调试器,侧重于在源代码不可用时对恶意软件进行分析或对可执行文件进行逆向工程。
地址:https://github.com/x64dbg/x64dbg
安全运营管理
Logging Made Easy::让日志记录变得简单
CISA推出的Logging Made Easy (LME)是一种适用于基于Windows的设备的简单日志管理解决方案,可以免费下载和自行安装。
日志管理对许多目标组织来说都是一个沉重的负担,尤其是那些资源有限的组织。CISA的LME是一个交钥匙解决方案,适合寻求加强网络安全同时减轻日志管理负担的公共和私人组织。
地址:https://github.com/cisagov/LME
Wazuh:免费开源XDR和SIEM
Wazuh是一个专为威胁检测、预防和响应而设计的开源平台。它可以保护本地、虚拟、容器和云设置中的工作负载。
Wazuh有两个主要组件:端点安全代理和管理服务器。端点安全代理安装在受监视的系统上,并负责收集与安全相关的数据。管理服务器接收代理收集的数据并对其执行分析。
Wazuh已与Elastic Stack完全集成,提供搜索引擎和数据可视化工具。此集成允许用户浏览其安全警报并从收集的数据中获得见解。
地址:https://github.com/wazuh/wazuh
System Informer:多用途系统资源监控工具
System Informer是一个免费的多用途工具,能够监控系统资源,调试软件和检测恶意软件。
它提供以下功能:
- 概览正在运行的进程和资源使用情况
- 详细的系统信息和图表
- 查看和编辑服务
- 其他一些软件调试和分析功能
地址:https://github.com/winsiderss/systeminformer
Prometheus:强大的数据监控解决方案
Prometheus是一个功能强大的为数据监控解决方案,拥有一个大型社区提供支持,该社区由来自700多家企业的6300多位贡献者组成,代码提交高达13500次,pullrequest数量超过7200次。
Prometheus的功能特点包括:多维数据模型(基于时间序列的键值对)、灵活的查询和聚合语言PromQL、提供本地存储和分布式存储等。
地址:https://github.com/prometheus/prometheus
Matano:可替代SIEM的安全数据湖平台
Matano是一个开源云原生安全湖平台,可替代SIEM(安全信息和事件管理)。它可以在AWS平台上实现大规模PB级的威胁搜寻、检测、响应和网络安全分析。
借助Matano,用户可以使用基于S3(简单存储服务)或SQS(简单队列服务)的摄取方法来收集数据。它带有预配置的源,如CloudTrail,Zeek和Okta,并且还会自动从所有SaaS源中检索日志数据。
地址:https://github.com/matanolabs/matano
Faraday:可视化漏洞管理器
Faraday是一个开源漏洞管理器,可帮助安全专业人员专注于查找漏洞,同时简化组织他们的工作流程。
Faraday的主要功能之一是能够聚合和规范化加载到其中的数据。这使管理人员和分析师能够通过各种可视化来探索数据,从而有助于更好地了解漏洞并有助于决策过程。
地址:https://github.com/infobyte/faraday
DNS安全
PolarDNS:专为安全评估量身定制的开源DNS服务器
PolarDNS是一个专门的权威DNS服务器,允许运营商生成适合DNS协议测试目的的自定义DNS响应。
PolarDNS可用于测试:
- DNS解析器(服务器端)
- DNS客户端
- DNS库
- DNS解析器和解析器
- 任何处理DNS信息的软件
地址:https://github.com/oryxlabs/PolarDNS
