目前在安全领域,集成已成为一种趋势。
客户需求的是整体解决方案,软件厂商正在通过整合方式满足用户需求。
那么,开源软件要想真正解决安全问题,也得向这方面发展。
也许是开源软件良好的发展前景,促使很多投资商投入于此;也可能是过热的投资,促使开源软件发展速度加快;不过更可能的原因是他们两方面的相互促进,使得我们能够看到越来越多的优秀开源软件。安全领域同样如此,虽然一些大名鼎鼎的开源软件由来已久,不过现在的开源热至少使他们在舞台上站得更靠前。
早在2002年底到2003年初时,安全防范平台的科研项目中就引入了Nessus和Netfilter。开源可能有很多好处,不过在我看来最主要的就是它可以方便的“拿来”。我曾有过这样的设想,是否可以将目前所能看到的各种优秀的开源安全项目全部拿来,然后将之集成为一个大而全的安全套件?这个想法持续了很长一段时间,直到最近看到了OSSIM这个项目,便促使了我写这篇文章。
安全领域的开源选择对于安全领域来说,开源软件可选择性很多,无法在此一一列举。2000年5、6月间,Nmap-hackers邮件列表中发起了最佳安全工具的评选活动,活动取得了成功,并评选出了50个最佳安全工具,得到了网友们的普遍认可。时隔三年,Nmap-hackers邮件列表中又发起了同样的评选活动,并且这次评选出的最佳安全工具由50个增加到了75个。虽然这个评选结果并非全部是开源软件,但是绝大部分应该是,这对我们而言已经足够。
目前,主流的四款开源安全工具Nessus、Netfilter、Snort、Perl已经覆盖了安全应用领域的四大方面:评估,防护,检测,响应。需要说明的是,由于响应工作的复杂性、具体相关性,很难将其过程程序化,所以也就没有一个完善的自动化响应工具或者系统。不过鉴于perl这种脚本语言在安全及配置领域的广泛应用,他非常适合用来开发针对具体系统的响应脚本,更进一步的可以用它来实现一个响应工具库。
如果我们把安全作为一个过程来考虑的话(实际上安全确实是一个动态的过程),那么评估、防护、检测、响应依次就是这一过程的四个步骤。而响应后期的工作更多的我们可以把它看作是一种再评估、再防护的过程,这样,整个安全过程就成为一种动态的,循环的,呈螺旋上升的一种状态。
目前整个安全过程所涉及的主要应用领域都有相应的非常不错的开源工具支持。但是问题同样存在,那就是安全是一个过程,过程是动态的,无缝的;而目前的主要的开源项目都是互相独立的,他们能够独立的解决单个领域的问题,比如安全评估,比如入侵检测,但是他们不能给整个安全过程提供一个整体解决方案。
那么怎样解决这个问题,我想答案就是集成。
开源集成的OSSIM项目开源的安全项目能不能够拿来整合,怎么整合?我想应该是可以的,而且已经有人开始做了。
OSSIM,即开源安全信息管理系统(参考:http://www.ossim.net),就是通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。它的目的是提供一种集中式、有组织的,能够更好地进行监测和显示的框架式系统。简言之,OSSIM是用于安全监控的开源架构。
这个架构由数据收集、监视、检测、审计以及控制台这五个模块构成。而这五个部分又被划分为高层的安全信息显示控制面板、中层的风险和活动监控以及底层的证据控制台和网络监控这三层,以分别提供不同功能。
作为一个集成式解决方案,OSSIM提供用于对任何层次进行监控的工具和功能,这些层次包括从最低层(给安全人员使用的、详细的IDS签名),到最高层,以及其间的任何方面:证据控制台、关联级别、资产管理、危害明细记录、以及风险监控。
OSSIM明确定位为一个集成项目,目标并不是要开发一个新的功能,而是利用丰富的、强大的、由全球最优秀的开发人员开发的各种程序(包括Snort、Rrd、Nmap、 Nessus以及Ntop等)。在一个保留他们原有功能和作用的开放式架构下,将他们集成起来。而OSSOM项目的核心工作在于负责集成和关联各种产品提供的信息。
由于开源项目的优点,这些工具已经是久经考验、全方位测试、并且可靠的基础工具。另外,这些工具是开源软件的事实,意味着任何人都可以审核代码,他们都不存在软件后门等的疑虑。所以希望将来优秀的开源项目能够集成起来,以提供完整的安全解决方案。
enet