[[165685]]

[51CTO.com クイック翻訳] ほとんどの管理者は、タスクを手動で実行したり、スクリプトを作成してプロセスを自動化したりすることは十分に可能ですが、すぐに利用できるツールを活用する方が明らかに費用対効果が高いです。一方、800を超えるセキュリティ関連プロジェクトを擁するGitHubは、IT管理者にとってまさに宝の山であり、マルウェア分析、ペネトレーションテスト、コンピュータおよびネットワークフォレンジック、インシデント対応、ネットワーク監視といった現実世界の課題に対処するのに十分な豊富なツールとフレームワークを提供しています。

本日の記事では、注目すべきシステムおよびネットワーク保護ソリューションをいくつか紹介します。

1. 侵入テスト

まず、侵入テスト、特にRapid7のMetasploit Frameworkについて見てみましょう。セキュリティ専門家は、豊富なリソースライブラリを備えたこのソリューションを使用して、アプリケーションの脆弱性検出とセキュリティ評価を行うことができます。

このプラットフォームは、モジュール構造に基づいており、コンピューター、携帯電話、ルーター、スイッチ、産業用制御システム、組み込みデバイスに接続できる機能モジュールとテストメカニズムを含む幅広い汎用性を実現しています。さらに、MetasploitはWindows、Linux、Android、iOSなどのプラットフォームもサポートしています。

Metasploitは非常に包括的ですが、侵入テストには他のツールも利用できます。まず、ブラウザエクスプロイトフレームワーク（BeEF）はブラウザ向けに特別に設計されており、クライアント側の攻撃ベクトルを用いてエンタープライズ環境におけるWeb層のセキュリティレベルを評価できます。

Mimikatzは、Windowsデバイスやネットワークへの侵入の足掛かりを築くためのもう一つの侵入テストツールです。Mimikatzは非常に強力で、メモリから平文のパスワード、ハッシュ、PINコード、Kerberosチケットを抽出したり、感染したシステムから証明書と対応する秘密鍵をエクスポートしたりできます。Mimikatzは単独で使用することも、MetasploitにMeterpreterスクリプトとして組み込まれている場合もあります。

2. 多層防御ツール

CloudflareのCFSSLは、TLS証明書の署名、検証、バインディングが可能な「スイスアーミーナイフ」のようなツールです。CFSSLはコマンドラインツールとHTTP APIサーバーで構成されており、管理者はカスタマイズされたTLS/PKIツールを構築し、複数の署名鍵セットを使用して証明書を検証できます。また、CFSSLは、サーバー構成をテストして最新のセキュリティ脆弱性を特定するためのTLSエンドポイントスキャンツールの包括的なスイートを備えており、証明書の設定と失効のためのソフトウェアパッケージも提供しています。

ソフトウェア開発プロセスでは、キーやパスワードなどの機密データの漏洩は日常茶飯事です。Gitrobは、専門家がGitHubリポジトリをスキャンして機密ファイルを見つけるのに役立ちます。GitHubには情報検索機能が組み込まれていますが、Gitrobはすべてのパブリックリポジトリとメンバーリポジトリを単一のリストに集約することで、このプロセスを効率化します。このツールは、リスト内のさまざまなパターンに従ってファイル名を照合することで、機密情報を含むファイルを検索できます。また、Gitrobはすべての情報をPostgreSQLデータベースに保存し、シンプルなWebアプリケーションで検索結果を表示することもできます。

Lynisは、Linux、Mac OS X、BSD、SolarisなどのUnix系システム向けのセキュリティ監査および強化ツールです。システム内の問題、脆弱なソフトウェアパッケージ、構成設定を詳細にスキャン・検出し、適切な解決策を提案します。ブルーチームテストやブルーグリーンテストで広く使用されているツールであるLynisは、セキュリティ評価、コンプライアンステスト、脆弱性検出、構成管理、パッチ管理を容易に実行できます。

国家安全保障局（NSA）のシステム整合性管理プラットフォーム（SIMP）は、セキュリティチームがネットワークシステムのセキュリティポリシーと標準を定義・適用することを可能にします。組織はこのフレームワークを活用することで、セキュリティコンプライアンス要件を満たし、日常業務を自動化できます。SIMPはネットワークの挙動を追跡し、セキュリティチームの業務における逸脱を特定できます。SIMPを使用するには、Red Hat Enterprise Linuxのライセンスを購入する必要があります。

3. ネットワークセキュリティ監視

Bro Network Security Monitorは、ネットワーク上のすべてのデバイスを可視化し、ネットワークトラフィックの監視とネットワークパケットの検査を可能にします。アナライザーはアプリケーション層の脅威も検出できます。セキュリティ専門家は、Broのドメイン固有スクリプト言語を使用して、対象を絞ったサイト監視ポリシーを作成できます。プロジェクトの公式ウェブサイトによると、Broは大学、研究機関、スーパーコンピューティングセンターなど、様々な科学研究環境に適しています。

OSSECは、ホストベースの侵入検知システムとログ監視、SIEM（セキュリティ情報イベント管理）機能を組み合わせ、Linux、Mac OS、Solaris、AIX、Windowsなどのシステムプラットフォームと互換性があります。セキュリティチームは、ログ分析、ファイル整合性チェック、ポリシー監視、ルートキット検出、リアルタイムアラート、プロアクティブな対応にOSSECを活用できます。また、企業はコンプライアンス要件を満たすために、不正なファイルシステム変更やソフトウェアログ内の悪意のあるアクティビティに関するアラートを送信するように設定することもできます。

Molochは、イベント処理、ネットワークセキュリティ監視、デジタルフォレンジックを担う、大規模なフルパケットキャプチャインデックスおよびデータベースシステムです。管理者はMolochを使用することで、キャプチャしたすべてのネットワークトラフィックを参照、検索、エクスポートできます。これには、データキャプチャ用のシングルスレッドCアプリケーション、ユーザーインターフェース処理用のNode.jsアプリケーション、Elasticsearchデータベースが含まれます。

4. インシデント対応と証拠収集

Mozilla Defense Platform (MozDef) は、インシデント対応を自動化し、セキュリティ専門家向けにセキュリティインシデントのリアルタイム監視、対応、コラボレーションのための統合プラットフォームを提供します。MozDef は、Elasticsearch、Meteor、MongoDB を活用して従来の SIEM 機能を拡張しており、Mozilla 自身も使用している成熟したプラットフォームです。

OS X Auditor は、現在実行中のシステム上のカーネル拡張機能、システムエージェントとデーモン、サードパーティ製エージェント、ダウンロードされたファイル、インストールされたアプリケーション（またはコピー）を解析およびハッシュ化できます。このフォレンジックツールは、隔離されたファイル、ブラウザの履歴と Cookie、ファイルのダウンロード、LastSession、HTML5 データベースとローカルストア、ログインデータ、ソーシャルメディアとメールアカウント、さらには保存されたワイヤレス接続など、さまざまなユーザー情報を抽出できます。また、OS X Auditor はフォレンジック調査のために各ファイルの実際のソースを検証します。

Sleuth Kitは、MicrosoftおよびUnixシステム向けの強力なツールであり、捜査官がデジタル証拠を特定・回収し、インシデント対応のための画像を作成するのに役立ちます。捜査官は、ファイルの内容を分析し、特定のプロセスを自動化し、MD5による画像整合性チェックを実行できます。また、キットにはAutopsyグラフィカルインターフェースからアクセスできる一連のライブラリとコマンドラインツールも含まれています。

GRR Rapid Response Frameworkは、Linux、OS X、Windowsクライアント向けのリモートリアルタイムフォレンジックに重点を置いています。調査担当者は、対象システムにPythonエージェントをインストールすることで、リアルタイムのリモートメモリ分析、デジタル証拠の収集、CPU、メモリ、I/O使用率などのシステム詳細の監視を実行できます。GRRはSleuthKitも活用し、ユーザーのRAWファイルシステムアクセスを支援します。

5. 調査ツールと脆弱性スキャンツール

Radareプロジェクトは、Android、Linux、BSD、iOS、OS X、Solaris、Haiku、FirefoxOS、QNXなどのシステム向けのリバースエンジニアリングフレームワークおよびコマンドラインツールであり、32ビットおよび64ビットのWindowsをサポートしています。当初はフォレンジックツールとスクリプト化されたコマンドライン16進エディタでしたが、バイナリファイルの解析、コードの逆アセンブル、プログラムのデバッグ、リモートgdbサーバーへの接続などを可能にするライブラリやツールを含むように進化しました。Radareは、Intel、ARM、Sparc、PowerPCなど、さまざまなアーキテクチャをサポートしています。

Brakemanは、Ruby on Railsアプリケーション向けの脆弱性スキャンツールです。分散データフロー解析を実行できます。Brakemanは、SQLインジェクション、SSL証明書の回避、情報漏洩といったWebアプリケーションの脆弱性を管理者が発見するのに役立ちます。また、ウェブサイトのセキュリティスキャンツールとしても使用できます。

Quick Android Review Kit（Qark）は、ソースコードやパッケージ化されたAPKを含むAndroidアプリケーションの脆弱性を検出します。このツールは、不適切にエクスポートされたコンポーネント、無効なx.509証明書、データ侵害、ソースコードへの秘密鍵の埋め込み、脆弱または不適切に使用されたパスワード、クリックジャッキングなど、様々な問題を特定できます。Qarkは、発見された脆弱性に関する情報を提供し、発見内容を実証するための概念実証APKを作成します。

マルウェア分析には、Cuckoo Sandbox が適しています。これは、2010 年の Google Summer of Code プロジェクトから生まれた、自動化された動的マルウェア分析システムです。Cuckoo は、隔離された仮想環境を作成し、その中で疑わしいファイルを実行してその動作を監視できます。また、メモリを徹底的に調査し、API 呼び出しのトレースやファイルの作成と削除のログなどのデータを分析することで、システム内での疑わしいファイルの移動を検出できます。

Jupyter自体はセキュリティに特化したプロジェクトではありませんが、共有可能なノートブックはセキュリティに不可欠なツールです。セキュリティ専門家は、これらのノートブックを使用してライブコード、視覚化、説明テキストを共有できます。ノートブックは埋め込みシェルもサポートしています。その他の注目すべきプロジェクトコンポーネントには、マルチユーザーサーバーJupyterhub、diffツール、Dockerスタック、OAuthソフトウェアパッケージなどがあります。

原題: セキュリティ専門家のためのオープンソースGitHubプロジェクト19選、著者: Antonio Silveira

[この記事は51CTOによって翻訳されました。提携サイトへの転載の際は、元の翻訳者と出典を51CTO.comとして明記してください。]