開源安全工具的功能如今已經(jīng)取得了長足的進(jìn)步，并且可以與專有工具一樣有效。但是，開源工具還存在一些缺點(diǎn)，因此混合采用安全工具的模式可能是最佳選擇。

　　雖然開源工具繼續(xù)成為許多企業(yè)不可或缺的一部分，但開源安全工具(從入侵檢測和保護(hù)到防火墻的所有開源版本)的使用需要更長的時(shí)間才得到廣泛推廣。

　　那么，企業(yè)能否只使用開源工具來保護(hù)其運(yùn)營環(huán)境?其答案是肯定的，但這很復(fù)雜。這取決于企業(yè)的IT員工的經(jīng)驗(yàn)、愿意花費(fèi)支付的費(fèi)用，以及對(duì)風(fēng)險(xiǎn)的承受能力。

　　非營利性開放網(wǎng)絡(luò)應(yīng)用程序安全項(xiàng)目(OWASP)基金會(huì)全球董事會(huì)主席兼德勤公司滲透測試高級(jí)經(jīng)理OwenPendlebury表示，在大多數(shù)情況下，開源安全工具與專有工具一樣有效或幾乎一樣有效。這是因?yàn)椋c專有工具不同，開源工具是由活躍且參與的技術(shù)社區(qū)來維護(hù)的，其中許多社區(qū)成員是技術(shù)專家。

　　事實(shí)上，開源安全在很短的時(shí)間內(nèi)取得了長足的進(jìn)步。在過去十年中，軟件供應(yīng)商聯(lián)合起來促進(jìn)開源安全，并通常與技術(shù)聯(lián)盟開展合作。開放網(wǎng)絡(luò)安全聯(lián)盟(OCA)就是其中一個(gè)聯(lián)盟。為了提高網(wǎng)絡(luò)安全生態(tài)系統(tǒng)的互操作性，開放網(wǎng)絡(luò)安全聯(lián)盟(OCA)在今年2月推出了一個(gè)用于安全工具的開源消息傳遞框架，以幫助網(wǎng)絡(luò)安全軟件之間的數(shù)據(jù)和命令共享。還有其他活躍的組織，例如非營利性和全球CERT社區(qū)，它們?yōu)殚_源安全工具的開發(fā)提供資金。

　　所有這些因素加在一起改變了開源安全工具的市場格局，并且市場上還有更多更好的工具，而且它們會(huì)變得越來越完善。

　　IBM公司安全威脅管理首席架構(gòu)師JasonKeirstead說：“與12或18個(gè)月前相比，我們已經(jīng)看到開源安全工具的數(shù)量和質(zhì)量都發(fā)生了相當(dāng)快的變化。在24到36個(gè)月前，我會(huì)給出一個(gè)截然不同的答案。”

　　使用開源安全工具有很多好處。因?yàn)樗鼈円邮懿粩嗟耐性u(píng)審，所以它們會(huì)不斷保持更新，并提供完整的文檔。此外，它們往往更加靈活，允許IT人員在專有環(huán)境的范圍之外工作。

　　但這并不總是安全無憂。例如，如果無法控制修補(bǔ)和發(fā)布時(shí)間表，這意味著存在被網(wǎng)絡(luò)攻擊者侵入或攻擊的風(fēng)險(xiǎn)。

　　盡管這些代碼通常由許多人審查，但它仍然可能包含漏洞。事實(shí)上，開源工具與專有工具存在相同類型的漏洞。例如，包含數(shù)百萬行代碼的龐大代碼庫可能使它們難以檢測。Pendlebury指出，漏洞也可以作為構(gòu)建在遺留代碼庫上的糟糕編碼實(shí)踐的一部分被引入，這些代碼庫可能是在沒有考慮安全的情況下開發(fā)的，或者使用具有已知漏洞或錯(cuò)誤配置的第三方代碼庫。

　　而且并不總是成本低廉。盡管開源工具是免費(fèi)的，但這并不意味著沒有成本。重要的是要考慮到將這些工具集成到企業(yè)的運(yùn)營環(huán)境中并持續(xù)維護(hù)它們所需的時(shí)間。

　　Keirstead說，“當(dāng)使用純粹的開源工具時(shí)，很多支持、集成和維護(hù)工作都落在實(shí)施者身上。我們的調(diào)查表明，很多企業(yè)必須構(gòu)建自己的網(wǎng)絡(luò)安全團(tuán)隊(duì)來整合他們擁有和采用的工具。如果使用現(xiàn)有支持的商業(yè)工具是這種情況，那么想象一下，當(dāng)存在這種情況時(shí)，工作量會(huì)增加多少，并且這些工具不會(huì)得到商業(yè)支持，而且都是基于技術(shù)社區(qū)的，因此有問題必須自己解決。”

　　雖然有許多安全功能是開源工具的理想選擇，但挑選這些功能可能是值得的。一個(gè)難以選擇的領(lǐng)域是桌面或端點(diǎn)安全。

　　PivotPoint公司安全評(píng)估實(shí)踐負(fù)責(zé)人MikeGargiullo解釋說，“在網(wǎng)絡(luò)上的大多數(shù)地方，開源和付費(fèi)產(chǎn)品的工作大致相同。防火墻就是防火墻，它或者讓某人進(jìn)入，或者不允許進(jìn)入。如果沒有防火墻，還有其他安全層可以進(jìn)行保護(hù)。但當(dāng)今的大多數(shù)網(wǎng)絡(luò)攻擊都發(fā)生在桌面級(jí)別和端點(diǎn)，通常是發(fā)生在用戶單擊或下載某些內(nèi)容之后。這是一個(gè)風(fēng)險(xiǎn)級(jí)別的問題。”

　　選擇哪些工具?

　　然而，在很多領(lǐng)域使用開源安全工具是有意義的。防火墻就是一個(gè)很好的例子。例如，許多中小型公司使用pfSense等開源工具。安全信息和事件管理(SIEM)系統(tǒng)(例如OSSIM)和日志聚合工具(例如Graylog)也是如此。

　　這些工具確實(shí)可以完成任務(wù)，但它們并沒有具備付費(fèi)工具的所有功能。例如，開源防火墻功能完善，但獲得儀表板和更多自動(dòng)化通常需要付費(fèi)的專業(yè)版。

　　Gargiullo說，“如果使用開源安全工具，必須做更多的工作，所以企業(yè)基本上是在用預(yù)算換取實(shí)際操作時(shí)間和配置工作。”

　　例如，Gargiullo提到了廣受好評(píng)的入侵檢測和防御工具OSSEC。雖然該工具非常出色并且具有很多功能，但它需要人為地將更改的信息添加到配置文件中。例如，Windows更新將要求某人使用文件的新正確值更新配置文件。

　　開源安全工具的數(shù)量比人們想象的要多，因此可能很難找到合適的工具。但是，有一些很好的經(jīng)驗(yàn)法則可以遵循。

　　Keirstead建議說，“這需要大量研究。在尋找解決方案之前，首先確保清楚了解自己的用例以及試圖解決的問題。因?yàn)樾枰?fù)責(zé)所有的集成、修補(bǔ)、安全和正常運(yùn)行時(shí)間，所以選擇滿足當(dāng)前用例需求的最簡單的工具是有意義的。最后還要查看文檔。它應(yīng)該是完整的和最近更新的。”

　　他表示，判斷是否找到理想工具的一種方法是它是否得到開發(fā)者的支持。最成功的開源項(xiàng)目都有龐大的支持社區(qū)。

　　兩全其美的措施

　　大多數(shù)企業(yè)在混合和匹配開源安全工具和供應(yīng)商工具方面都會(huì)取得更大的成功。尤其是在開源工具上構(gòu)建的供應(yīng)商工具。在某種程度上，這是兩全其美的措施。

　　Keirstead說，“這樣可以有更大的操作自由度和獨(dú)立性，以及建立在開源基礎(chǔ)上并將其集成到其生態(tài)系統(tǒng)中，可以獲得主要供應(yīng)商的穩(wěn)定支持。”

　　在大多數(shù)情況下，這取決于企業(yè)IT團(tuán)隊(duì)對(duì)什么感到滿意、必須花費(fèi)多少支出以及能夠承受多少風(fēng)險(xiǎn)。

　　Gargiullo說，“如果企業(yè)擁有一支技術(shù)水平合理的IT團(tuán)隊(duì)，可以使用開源工具完成90%或更多的安全配置。在理論上，可以完成100%，”

　　Pendlebury說，無論選擇開源、混合模型還是專有軟件，最重要的是找到適合這項(xiàng)工作的工具。以下是企業(yè)要問的關(guān)鍵問題：

　　•解決方案是否滿足要求?它是解決方案的主要功能還是次要功能?

　　•是否有替代方案?如果有，它們的排名如何?一些開源工具的排名高于專有工具，反之亦然。

　　•是否存在與當(dāng)前版本相關(guān)的任何漏洞，如果存在，是否正在制定補(bǔ)救計(jì)劃?

　　•管理和維護(hù)工具的人員配備要求是什么?

　　在選擇工具后，需要確保記錄控制環(huán)境、創(chuàng)建使用的庫的日志、訂閱威脅公告和更新，并記錄工具的功能，以便企業(yè)的安全團(tuán)隊(duì)可以有效地使用它們。Pendlebury表示，其他重要任務(wù)包括開發(fā)審計(jì)和測試軟件的流程、接收漏洞和更新信息，以及向社區(qū)提供反饋，以使這些工具盡可能有效。