沈雅

有數(shù)據(jù)顯示，83 %的企業(yè)和組織通過業(yè)務(wù)上云，節(jié)省成本、提高效能，但云安全問題緊跟而來。以下介紹的云安全類開源工具適用于SaaS、PaaS、IaaS等各類云服務(wù)模式。

Wazuh

Wazuh是一個整合了SIEM、HIDS及XDR的安全防護(hù)平臺。秉承開源精神，Wazuh社區(qū)發(fā)展十分迅速，用戶可在社區(qū)獲取技術(shù)支持、提交建議和反饋。據(jù)稱Wazuh的企業(yè)用戶超20萬家，其中包括一些財(cái)富100強(qiáng)的企業(yè)。除了支持本地部署，Wazuh也適用于云環(huán)境，基礎(chǔ)架構(gòu)靈活，可擴(kuò)展性強(qiáng)。

Osquery

Osquery是一個開源的針對操作系統(tǒng)的監(jiān)控與分析工具，支持像SQL語句一樣查詢系統(tǒng)的各項(xiàng)指標(biāo)，例如正在運(yùn)行的進(jìn)程、打開的網(wǎng)絡(luò)連接、硬件事件和瀏覽器插件等，適用于Windows、MacOS、Linux、FreeBSD，幫助提高系統(tǒng)性能。

Osquery由Facebook于2014年創(chuàng)建并投入使用，許多工程師表示從中受益。Osquery日志可以捕獲到未知的惡意軟件，但需要另外部署，并借助人力作威脅處置。

GoAudit

這是一款包含內(nèi)核源碼和監(jiān)控系統(tǒng)調(diào)用兩部分的Linux審計(jì)系統(tǒng)。監(jiān)控系統(tǒng)調(diào)用是負(fù)責(zé)審計(jì)寫入和記錄的用戶空間保護(hù)進(jìn)程。該工具發(fā)布于2016年，多行日志記錄功能和JSON Blob分析功能突出。因此，用戶可通過Netlink直接調(diào)用內(nèi)核，并根據(jù)具體業(yè)務(wù)實(shí)現(xiàn)威脅過濾。

Grapl

Grapl發(fā)布于2022年3月，是一個具備安全檢測、事件響應(yīng)和取證的圖形分析平臺，擅長收集安全類日志并將其轉(zhuǎn)換為子圖，再將子圖合并到Master Graph中，還原整個環(huán)境中的攻擊動作。因此Grapl能夠根據(jù)攻擊者意圖作出相應(yīng)的防御，類似真人防守。一旦有可疑模式出現(xiàn)，Grapl即啟動分析器并展開調(diào)查。

OSSEC

OSSEC是發(fā)布于2004年的安全檢測和監(jiān)控平臺，也被用作日志分析、Web服務(wù)器和防火墻分析等，能夠?qū)崟r監(jiān)控SIEM平臺的完整性，適配Microsoft windows、Linux、Open BSD、FreeBSD、Solaris等環(huán)境。OSSEC有一個集中管理器，負(fù)責(zé)監(jiān)測和接收來自agent的信息。它還可以在對數(shù)據(jù)庫、日志、系統(tǒng)審計(jì)、事件等執(zhí)行完整性檢查后存儲文件。

Suricata

Suricata兼具入侵檢測、入侵防御和網(wǎng)絡(luò)監(jiān)控功能。2009年發(fā)布時就有流量監(jiān)控功能，目前能夠做到以10 GB的速度對大流量的監(jiān)控。另外它還支持文件提取，以及在AWS中配置裸機(jī)和虛擬機(jī)服務(wù)器，實(shí)現(xiàn)流量監(jiān)控功能并發(fā)現(xiàn)高級威脅。

Zeek/Bro

和Suricata類似，這也是一款流量監(jiān)控工具，能夠發(fā)現(xiàn)異常行為和可疑活動。與傳統(tǒng)的基于規(guī)則的IDS有所不同，Zeek支持用戶查看事前、事中的攻擊活動，并具備一定的智能交互功能。Zeek的程序語言可根據(jù)用戶需求定制，因此能夠通過一些運(yùn)算符（如AND、OR、NOT等）構(gòu)建復(fù)雜的邏輯條件。

Panther

Panther是一個由Airbnb開源的自動化解決方案，主要功能是彌補(bǔ)傳統(tǒng)SIEM的不足，能夠設(shè)置匹配用戶實(shí)際的安全檢測環(huán)境和規(guī)模，實(shí)現(xiàn)集中檢測。其每一次檢測都是透明的，既確定了檢測規(guī)則又能減少誤報(bào)。

Panther能夠自動修復(fù)錯誤配置，并且允許用戶存儲一些不希望被損壞的數(shù)據(jù)。Panther一直使用自己的AWS云和AWS Cloud Formation進(jìn)行部署，能夠確保數(shù)據(jù)由用戶本身控制。

Kali Linux

Kali Linux是一個提供網(wǎng)絡(luò)安全實(shí)用程序和滲透測試工具的開源系統(tǒng)。這是少數(shù)專注于黑客攻擊的Linux發(fā)行版。在Kali Linux上，用戶可運(yùn)行Linux可執(zhí)行文件，該文件也可在Windows 10中執(zhí)行。Kali Linux支持在大部分設(shè)備上安裝，如RaspberryPi、Odroid、HP、SamsungChromebook和Beaglebone。

PacBot

PacBot是一款合規(guī)監(jiān)測、云安全自動化工具，即：策略即代碼機(jī)器人（Policy as Code Bot，PacBot）根據(jù)策略對目標(biāo)資源進(jìn)行掃描和評估。它包含自動修復(fù)框架，能夠通過一些預(yù)定義的行為實(shí)現(xiàn)對違規(guī)行為的自動響應(yīng)和處置。該工具還具備可視化功能，便于用戶查看合規(guī)情況，并簡化策略違規(guī)的分析與處置工作。