當(dāng)涉及到檢測(cè)、預(yù)防、分析信息安全威脅時(shí)，安全團(tuán)隊(duì)需要所有能得到的幫助。

Verizon發(fā)布的2015企業(yè)數(shù)據(jù)泄露調(diào)查解決方案調(diào)查報(bào)告顯示，在60%的案例中，攻擊者可以在幾分鐘內(nèi)完成入侵。不幸的是，公司無法提前檢測(cè)到這些威脅。Verizon稱之為在攻擊者和防御者之間的“檢測(cè)赤字”。

免費(fèi)、便宜、簡(jiǎn)單的安全工具是幫助縮小這種差距的途徑之一。我們要求信息安全和網(wǎng)絡(luò)安全專家們列出了他們最喜歡的免費(fèi)安全工具。不出所料，他們的回答包括了前端的漏洞掃描器、事后的惡意軟件觸發(fā)器以及分析工具等。

一旦攻擊者改變他們使用的攻擊工具，安全人員也會(huì)相應(yīng)改變自己所使用的安全工具。包括任何可以從公開網(wǎng)站上找得到的工具，以及同樣使用攻擊者們所青睞的滲透測(cè)試工具。

“沒有人見人愛的完美安全工具，稱手就行”--IDC信息安全分析師羅布·韋斯特維爾特

盡管威脅不斷變化，IDC信息安全分析師羅布·韋斯特維爾特認(rèn)為安全工具不一定要跟上最新的潮流。“做事件響應(yīng)工作的人們一直鐘愛一些有年頭的工具，他們使用這些工具非常熟練，可以幫助有效的對(duì)抗攻擊者。”

下面是一些安全專業(yè)人員列出的一些或免費(fèi)或?qū)嵱玫能浖ぞ撸?/p>

網(wǎng)絡(luò)保護(hù)

Team Cymru發(fā)布的多余流量移除服務(wù)(Unwanted Traffic Removal Service，UTRS)可以幫助對(duì)抗那些最大型的、最集中的分布式拒絕服務(wù)工具，有助于消除無效的或不必要的接入流量。

基于邊界網(wǎng)關(guān)協(xié)議(BGP)的解決方案將路由器和規(guī)則分配給相應(yīng)網(wǎng)絡(luò)，并只使用那些基于現(xiàn)有及未來流量的審查信息。大多數(shù)具有自治系統(tǒng)編號(hào)(ASN)，并在全球路由選擇表中傳遞默認(rèn)路由的網(wǎng)絡(luò)都能夠接收UTRS的BGP信息。

“我們的IT部門預(yù)算非常有限，UTRS是我們?cè)诠羰录锌梢粤⒖躺鲜值墓ぞ??！?-芝加哥帝博大學(xué)信息安全主管阿琳·耶特尼科夫

漏洞掃描器

Secpod Saner是一個(gè)免費(fèi)的漏洞及系統(tǒng)脆弱性掃描器，還可為個(gè)人電腦提供修復(fù)功能，在2015年亞洲黑帽子大會(huì)上被評(píng)為優(yōu)秀安全工具。開發(fā)者表示，反惡意軟件產(chǎn)品的功能通常集中在基于已知的惡意軟件指紋對(duì)已被感染的系統(tǒng)進(jìn)行清理。Secpod Saner則會(huì)識(shí)別在桌面系統(tǒng)、終端用戶應(yīng)用程序上的安全漏洞和錯(cuò)誤配置，并進(jìn)行主動(dòng)修復(fù)。而且，它還是一個(gè)企業(yè)級(jí)的軟件。

紐約一家金融機(jī)構(gòu)的信息安全專家推薦了Rapid7的Nexpose社區(qū)版(Nexpose Community edition)，功能是支持整個(gè)漏洞管理過程，包括發(fā)現(xiàn)、檢測(cè)、驗(yàn)證、風(fēng)險(xiǎn)分類、影響分析、報(bào)告和解決漏洞。這個(gè)免費(fèi)軟件會(huì)掃描網(wǎng)絡(luò)上的32位IP地址，操作系統(tǒng)和數(shù)據(jù)庫。

Rapid7的小企業(yè)滲透測(cè)試軟件Metasploit也有免費(fèi)版。簡(jiǎn)單的Web界面可以讓公司安全地模擬網(wǎng)絡(luò)攻擊的情景，并發(fā)現(xiàn)對(duì)應(yīng)的安全問題。

密碼管理

雖然密碼管理工具已經(jīng)存在多年，但用戶正在放棄這類軟件，因?yàn)樗鼈兺詣?dòng)性太差，或者難以配置和管理。但新的密碼管理軟件，比如LastPass，更加自動(dòng)化且易于使用。LastPass提供電腦免費(fèi)版，如果付費(fèi)即可下載智能手機(jī)和平板電腦端的應(yīng)用程序。

它非常直觀，如果密碼庫中有你登錄的網(wǎng)站對(duì)應(yīng)的密碼，它會(huì)自動(dòng)發(fā)出通知。

Windows安全

有些時(shí)候安全功能就藏在人們眼皮底下。微軟的WSUS和EMET有時(shí)候可能會(huì)被一些公司高估，但它們的確是不錯(cuò)的軟件。

EMET可以強(qiáng)迫程序與Windows使用不同的安全機(jī)制。舉例而言，EMET使用幾種不同的存儲(chǔ)器尋址保護(hù)策略，使惡意軟件更難找到用于執(zhí)行的內(nèi)存空間。而且它的證書鎖定方面的高級(jí)功能可以幫助防止釣魚攻擊，并可通過組策略對(duì)象將EMET配置在企業(yè)環(huán)境中。

根據(jù)Verizon的DBIR 2015報(bào)告，絕大多數(shù)的攻擊都是利用那些補(bǔ)丁已經(jīng)發(fā)布數(shù)月的漏洞完成的，所以保持系統(tǒng)更新對(duì)于防止漏洞被利用有極大的作用。想要確保設(shè)備以受控且適當(dāng)?shù)姆绞桨惭b更新是巨大的負(fù)擔(dān)，但這完全可以通過正確使用WSUS和組策略來自動(dòng)完成。而且WSUS還可以推送第三方更新，比如Java、Adobe Flash，并使用不同的開源軟件發(fā)布者。微軟的安全工具都是免費(fèi)許可給Windows軟件或服務(wù)器客戶的。

惡意軟件檢測(cè)及分析

佛羅里達(dá)州安全培訓(xùn)公司KnowBe4的聯(lián)合創(chuàng)始人信息安全培訓(xùn)專家斯圖·蘇沃門儲(chǔ)備有兩種免費(fèi)安全工具。

“Malwarebytes在應(yīng)對(duì)勒索軟件方面表現(xiàn)出色?！?-蘇沃門

這個(gè)免費(fèi)的掃描器會(huì)檢測(cè)和清除蠕蟲、木馬、后門、流氓和間諜軟件這類的惡意軟件。高級(jí)版中還提供更多的保護(hù)工具，比如實(shí)時(shí)掃描、自動(dòng)阻止惡意軟件和網(wǎng)站感染電腦。

ModSercurity是一個(gè)開源的網(wǎng)頁應(yīng)用防火墻。它提供的功能包括：Web應(yīng)用實(shí)時(shí)監(jiān)控、登錄、訪問控制。

將惡意軟件在沙盒中觸發(fā)并進(jìn)行安全分析的事件響應(yīng)團(tuán)隊(duì)可能會(huì)想嘗試Maltrieve，這是一個(gè)免費(fèi)軟件，可以將惡意軟件分析到源代碼級(jí)別，以供安全研究所用。“它會(huì)解析URL列表，得到惡意軟件的位置信息”，還支持其它診斷和惡意軟件分析工具，蘇沃門說。

安全培訓(xùn)

對(duì)那些希望提升滲透測(cè)試技術(shù)和知識(shí)的公司而言，推薦使用Root the Box開源平臺(tái)。這是一個(gè)實(shí)時(shí)的信息安全對(duì)抗評(píng)分系統(tǒng)，黑客可以通過它磨練自己的技術(shù)。Root the Box試圖將新手和有經(jīng)驗(yàn)的黑客聯(lián)合在一起，構(gòu)建一個(gè)有趣的游戲環(huán)境，并包括一些適用于現(xiàn)實(shí)世界的實(shí)際挑戰(zhàn)。

“這是我最喜歡的免費(fèi)工具，因?yàn)樗槍?duì)的是當(dāng)今最大的威脅——缺乏掌握安全知識(shí)的專業(yè)人員”--Silvers信息安全咨詢公司的首席顧問克里斯·席維斯

使用免費(fèi)安全工具的建議

在使用任何免費(fèi)安全工具之前，先咨詢一下安全行業(yè)的同行，并了解這些工具是如何使用的、為什么適合他們。接下來，應(yīng)該看看與這一工具相關(guān)的開發(fā)者社區(qū)活躍度，“如果只有一個(gè)開發(fā)者，或者開源項(xiàng)目中積極的貢獻(xiàn)者們只是一個(gè)小團(tuán)體，這個(gè)工具很可能夭折”，韋斯特維爾特說。

最后，確定這個(gè)工具在工作中的實(shí)用性。不能因?yàn)橐胍粋€(gè)新的工具而破壞整個(gè)工作流程。否則不僅影響個(gè)人的工作，還會(huì)進(jìn)一步影響整個(gè)團(tuán)隊(duì)的運(yùn)作。要多加思考為什么需要這個(gè)新的工具，也許引入一項(xiàng)過程改進(jìn)就能解決問題。

威脅環(huán)境是不斷變化的，安全人員必須隨時(shí)準(zhǔn)備快速吸收和使用新的工具。因此一個(gè)技能高度熟練的安全團(tuán)隊(duì)會(huì)事半功倍。

“我最好的工具是與同事們的關(guān)系，以及我的團(tuán)隊(duì)對(duì)使用工具進(jìn)行的培訓(xùn)?！?-羅布·韋斯特維爾