開源安全工具的功能如今已經取得了長足的進步，并且可以與專有工具一樣有效。但是，開源工具還存在一些缺點，因此混合采用安全工具的模式可能是最佳選擇。

　　雖然開源工具繼續成為許多企業不可或缺的一部分，但開源安全工具(從入侵檢測和保護到防火墻的所有開源版本)的使用需要更長的時間才得到廣泛推廣。

　　那么，企業能否只使用開源工具來保護其運營環境?其答案是肯定的，但這很復雜。這取決于企業的IT員工的經驗、愿意花費支付的費用，以及對風險的承受能力。

　　非營利性開放網絡應用程序安全項目(OWASP)基金會全球董事會主席兼德勤公司滲透測試高級經理OwenPendlebury表示，在大多數情況下，開源安全工具與專有工具一樣有效或幾乎一樣有效。這是因為，與專有工具不同，開源工具是由活躍且參與的技術社區來維護的，其中許多社區成員是技術專家。

　　事實上，開源安全在很短的時間內取得了長足的進步。在過去十年中，軟件供應商聯合起來促進開源安全，并通常與技術聯盟開展合作。開放網絡安全聯盟(OCA)就是其中一個聯盟。為了提高網絡安全生態系統的互操作性，開放網絡安全聯盟(OCA)在今年2月推出了一個用于安全工具的開源消息傳遞框架，以幫助網絡安全軟件之間的數據和命令共享。還有其他活躍的組織，例如非營利性和全球CERT社區，它們為開源安全工具的開發提供資金。

　　所有這些因素加在一起改變了開源安全工具的市場格局，并且市場上還有更多更好的工具，而且它們會變得越來越完善。

　　IBM公司安全威脅管理首席架構師JasonKeirstead說：“與12或18個月前相比，我們已經看到開源安全工具的數量和質量都發生了相當快的變化。在24到36個月前，我會給出一個截然不同的答案。”

　　使用開源安全工具有很多好處。因為它們要接受不斷的同行評審，所以它們會不斷保持更新，并提供完整的文檔。此外，它們往往更加靈活，允許IT人員在專有環境的范圍之外工作。

　　但這并不總是安全無憂。例如，如果無法控制修補和發布時間表，這意味著存在被網絡攻擊者侵入或攻擊的風險。

　　盡管這些代碼通常由許多人審查，但它仍然可能包含漏洞。事實上，開源工具與專有工具存在相同類型的漏洞。例如，包含數百萬行代碼的龐大代碼庫可能使它們難以檢測。Pendlebury指出，漏洞也可以作為構建在遺留代碼庫上的糟糕編碼實踐的一部分被引入，這些代碼庫可能是在沒有考慮安全的情況下開發的，或者使用具有已知漏洞或錯誤配置的第三方代碼庫。

　　而且并不總是成本低廉。盡管開源工具是免費的，但這并不意味著沒有成本。重要的是要考慮到將這些工具集成到企業的運營環境中并持續維護它們所需的時間。

　　Keirstead說，“當使用純粹的開源工具時，很多支持、集成和維護工作都落在實施者身上。我們的調查表明，很多企業必須構建自己的網絡安全團隊來整合他們擁有和采用的工具。如果使用現有支持的商業工具是這種情況，那么想象一下，當存在這種情況時，工作量會增加多少，并且這些工具不會得到商業支持，而且都是基于技術社區的，因此有問題必須自己解決。”

　　雖然有許多安全功能是開源工具的理想選擇，但挑選這些功能可能是值得的。一個難以選擇的領域是桌面或端點安全。

　　PivotPoint公司安全評估實踐負責人MikeGargiullo解釋說，“在網絡上的大多數地方，開源和付費產品的工作大致相同。防火墻就是防火墻，它或者讓某人進入，或者不允許進入。如果沒有防火墻，還有其他安全層可以進行保護。但當今的大多數網絡攻擊都發生在桌面級別和端點，通常是發生在用戶單擊或下載某些內容之后。這是一個風險級別的問題。”

　　選擇哪些工具?

　　然而，在很多領域使用開源安全工具是有意義的。防火墻就是一個很好的例子。例如，許多中小型公司使用pfSense等開源工具。安全信息和事件管理(SIEM)系統(例如OSSIM)和日志聚合工具(例如Graylog)也是如此。

　　這些工具確實可以完成任務，但它們并沒有具備付費工具的所有功能。例如，開源防火墻功能完善，但獲得儀表板和更多自動化通常需要付費的專業版。

　　Gargiullo說，“如果使用開源安全工具，必須做更多的工作，所以企業基本上是在用預算換取實際操作時間和配置工作。”

　　例如，Gargiullo提到了廣受好評的入侵檢測和防御工具OSSEC。雖然該工具非常出色并且具有很多功能，但它需要人為地將更改的信息添加到配置文件中。例如，Windows更新將要求某人使用文件的新正確值更新配置文件。

　　開源安全工具的數量比人們想象的要多，因此可能很難找到合適的工具。但是，有一些很好的經驗法則可以遵循。

　　Keirstead建議說，“這需要大量研究。在尋找解決方案之前，首先確保清楚了解自己的用例以及試圖解決的問題。因為需要負責所有的集成、修補、安全和正常運行時間，所以選擇滿足當前用例需求的最簡單的工具是有意義的。最后還要查看文檔。它應該是完整的和最近更新的。”

　　他表示，判斷是否找到理想工具的一種方法是它是否得到開發者的支持。最成功的開源項目都有龐大的支持社區。

　　兩全其美的措施

　　大多數企業在混合和匹配開源安全工具和供應商工具方面都會取得更大的成功。尤其是在開源工具上構建的供應商工具。在某種程度上，這是兩全其美的措施。

　　Keirstead說，“這樣可以有更大的操作自由度和獨立性，以及建立在開源基礎上并將其集成到其生態系統中，可以獲得主要供應商的穩定支持。”

　　在大多數情況下，這取決于企業IT團隊對什么感到滿意、必須花費多少支出以及能夠承受多少風險。

　　Gargiullo說，“如果企業擁有一支技術水平合理的IT團隊，可以使用開源工具完成90%或更多的安全配置。在理論上，可以完成100%，”

　　Pendlebury說，無論選擇開源、混合模型還是專有軟件，最重要的是找到適合這項工作的工具。以下是企業要問的關鍵問題：

　　•解決方案是否滿足要求?它是解決方案的主要功能還是次要功能?

　　•是否有替代方案?如果有，它們的排名如何?一些開源工具的排名高于專有工具，反之亦然。

　　•是否存在與當前版本相關的任何漏洞，如果存在，是否正在制定補救計劃?

　　•管理和維護工具的人員配備要求是什么?

　　在選擇工具后，需要確保記錄控制環境、創建使用的庫的日志、訂閱威脅公告和更新，并記錄工具的功能，以便企業的安全團隊可以有效地使用它們。Pendlebury表示，其他重要任務包括開發審計和測試軟件的流程、接收漏洞和更新信息，以及向社區提供反饋，以使這些工具盡可能有效。