开源安全工具的功能如今已经取得了长足的进步,并且可以与专有工具一样有效。但是,开源工具还存在一些缺点,因此混合采用安全工具的模式可能是最佳选择。
虽然开源工具继续成为许多企业不可或缺的一部分,但开源安全工具(从入侵检测和保护到防火墙的所有开源版本)的使用需要更长的时间才得到广泛推广。
那么,企业能否只使用开源工具来保护其运营环境?其答案是肯定的,但这很复杂。这取决于企业的IT员工的经验、愿意花费支付的费用,以及对风险的承受能力。
非营利性开放网络应用程序安全项目(OWASP)基金会全球董事会主席兼德勤公司渗透测试高级经理OwenPendlebury表示,在大多数情况下,开源安全工具与专有工具一样有效或几乎一样有效。这是因为,与专有工具不同,开源工具是由活跃且参与的技术社区来维护的,其中许多社区成员是技术专家。
事实上,开源安全在很短的时间内取得了长足的进步。在过去十年中,软件供应商联合起来促进开源安全,并通常与技术联盟开展合作。开放网络安全联盟(OCA)就是其中一个联盟。为了提高网络安全生态系统的互操作性,开放网络安全联盟(OCA)在今年2月推出了一个用于安全工具的开源消息传递框架,以帮助网络安全软件之间的数据和命令共享。还有其他活跃的组织,例如非营利性和全球CERT社区,它们为开源安全工具的开发提供资金。
所有这些因素加在一起改变了开源安全工具的市场格局,并且市场上还有更多更好的工具,而且它们会变得越来越完善。
IBM公司安全威胁管理首席架构师JasonKeirstead说:“与12或18个月前相比,我们已经看到开源安全工具的数量和质量都发生了相当快的变化。在24到36个月前,我会给出一个截然不同的答案。”
使用开源安全工具有很多好处。因为它们要接受不断的同行评审,所以它们会不断保持更新,并提供完整的文档。此外,它们往往更加灵活,允许IT人员在专有环境的范围之外工作。
但这并不总是安全无忧。例如,如果无法控制修补和发布时间表,这意味着存在被网络攻击者侵入或攻击的风险。
尽管这些代码通常由许多人审查,但它仍然可能包含漏洞。事实上,开源工具与专有工具存在相同类型的漏洞。例如,包含数百万行代码的庞大代码库可能使它们难以检测。Pendlebury指出,漏洞也可以作为构建在遗留代码库上的糟糕编码实践的一部分被引入,这些代码库可能是在没有考虑安全的情况下开发的,或者使用具有已知漏洞或错误配置的第三方代码库。
而且并不总是成本低廉。尽管开源工具是免费的,但这并不意味着没有成本。重要的是要考虑到将这些工具集成到企业的运营环境中并持续维护它们所需的时间。
Keirstead说,“当使用纯粹的开源工具时,很多支持、集成和维护工作都落在实施者身上。我们的调查表明,很多企业必须构建自己的网络安全团队来整合他们拥有和采用的工具。如果使用现有支持的商业工具是这种情况,那么想象一下,当存在这种情况时,工作量会增加多少,并且这些工具不会得到商业支持,而且都是基于技术社区的,因此有问题必须自己解决。”
虽然有许多安全功能是开源工具的理想选择,但挑选这些功能可能是值得的。一个难以选择的领域是桌面或端点安全。
PivotPoint公司安全评估实践负责人MikeGargiullo解释说,“在网络上的大多数地方,开源和付费产品的工作大致相同。防火墙就是防火墙,它或者让某人进入,或者不允许进入。如果没有防火墙,还有其他安全层可以进行保护。但当今的大多数网络攻击都发生在桌面级别和端点,通常是发生在用户单击或下载某些内容之后。这是一个风险级别的问题。”
选择哪些工具?
然而,在很多领域使用开源安全工具是有意义的。防火墙就是一个很好的例子。例如,许多中小型公司使用pfSense等开源工具。安全信息和事件管理(SIEM)系统(例如OSSIM)和日志聚合工具(例如Graylog)也是如此。
这些工具确实可以完成任务,但它们并没有具备付费工具的所有功能。例如,开源防火墙功能完善,但获得仪表板和更多自动化通常需要付费的专业版。
Gargiullo说,“如果使用开源安全工具,必须做更多的工作,所以企业基本上是在用预算换取实际操作时间和配置工作。”
例如,Gargiullo提到了广受好评的入侵检测和防御工具OSSEC。虽然该工具非常出色并且具有很多功能,但它需要人为地将更改的信息添加到配置文件中。例如,Windows更新将要求某人使用文件的新正确值更新配置文件。
开源安全工具的数量比人们想象的要多,因此可能很难找到合适的工具。但是,有一些很好的经验法则可以遵循。
Keirstead建议说,“这需要大量研究。在寻找解决方案之前,首先确保清楚了解自己的用例以及试图解决的问题。因为需要负责所有的集成、修补、安全和正常运行时间,所以选择满足当前用例需求的最简单的工具是有意义的。最后还要查看文档。它应该是完整的和最近更新的。”
他表示,判断是否找到理想工具的一种方法是它是否得到开发者的支持。最成功的开源项目都有庞大的支持社区。
两全其美的措施
大多数企业在混合和匹配开源安全工具和供应商工具方面都会取得更大的成功。尤其是在开源工具上构建的供应商工具。在某种程度上,这是两全其美的措施。
Keirstead说,“这样可以有更大的操作自由度和独立性,以及建立在开源基础上并将其集成到其生态系统中,可以获得主要供应商的稳定支持。”
在大多数情况下,这取决于企业IT团队对什么感到满意、必须花费多少支出以及能够承受多少风险。
Gargiullo说,“如果企业拥有一支技术水平合理的IT团队,可以使用开源工具完成90%或更多的安全配置。在理论上,可以完成100%,”
Pendlebury说,无论选择开源、混合模型还是专有软件,最重要的是找到适合这项工作的工具。以下是企业要问的关键问题:
•解决方案是否满足要求?它是解决方案的主要功能还是次要功能?
•是否有替代方案?如果有,它们的排名如何?一些开源工具的排名高于专有工具,反之亦然。
•是否存在与当前版本相关的任何漏洞,如果存在,是否正在制定补救计划?
•管理和维护工具的人员配备要求是什么?
在选择工具后,需要确保记录控制环境、创建使用的库的日志、订阅威胁公告和更新,并记录工具的功能,以便企业的安全团队可以有效地使用它们。Pendlebury表示,其他重要任务包括开发审计和测试软件的流程、接收漏洞和更新信息,以及向社区提供反馈,以使这些工具尽可能有效。