目前在安全領域,集成已成為一種趨勢。
客戶需求的是整體解決方案,軟件廠商正在通過整合方式滿足用戶需求。
那麼,開源軟件要想真正解決安全問題,也得向這方面發展。
也許是開源軟件良好的發展前景,促使很多投資商投入於此;也可能是過熱的投資,促使開源軟件發展速度加快;不過更可能的原因是他們兩方面的相互促進,使得我們能夠看到越來越多的優秀開源軟件。安全領域同樣如此,雖然一些大名鼎鼎的開源軟件由來已久,不過現在的開源熱至少使他們在舞台上站得更靠前。
早在2002年底到2003年初時,安全防范平台的科研項目中就引入了Nessus和Netfilter。開源可能有很多好處,不過在我看來最主要的就是它可以方便的“拿來”。我曾有過這樣的設想,是否可以將目前所能看到的各種優秀的開源安全項目全部拿來,然後將之集成為一個大而全的安全套件?這個想法持續了很長一段時間,直到最近看到了OSSIM這個項目,便促使了我寫這篇文章。
安全領域的開源選擇對於安全領域來說,開源軟件可選擇性很多,無法在此一一列舉。2000年5、6月間,Nmap-hackers郵件列表中發起了最佳安全工具的評選活動,活動取得了成功,並評選出了50個最佳安全工具,得到了網友們的普遍認可。時隔三年,Nmap-hackers郵件列表中又發起了同樣的評選活動,並且這次評選出的最佳安全工具由50個增加到了75個。雖然這個評選結果並非全部是開源軟件,但是絕大部分應該是,這對我們而言已經足夠。
目前,主流的四款開源安全工具Nessus、Netfilter、Snort、Perl已經覆蓋了安全應用領域的四大方面:評估,防護,檢測,響應。需要說明的是,由於響應工作的復雜性、具體相關性,很難將其過程程序化,所以也就沒有一個完善的自動化響應工具或者系統。不過鑒於perl這種腳本語言在安全及配置領域的廣泛應用,他非常適合用來開發針對具體系統的響應腳本,更進一步的可以用它來實現一個響應工具庫。
如果我們把安全作為一個過程來考慮的話(實際上安全確實是一個動態的過程),那麼評估、防護、檢測、響應依次就是這一過程的四個步驟。而響應後期的工作更多的我們可以把它看作是一種再評估、再防護的過程,這樣,整個安全過程就成為一種動態的,循環的,呈螺旋上升的一種狀態。
目前整個安全過程所涉及的主要應用領域都有相應的非常不錯的開源工具支持。但是問題同樣存在,那就是安全是一個過程,過程是動態的,無縫的;而目前的主要的開源項目都是互相獨立的,他們能夠獨立的解決單個領域的問題,比如安全評估,比如入侵檢測,但是他們不能給整個安全過程提供一個整體解決方案。
那麼怎樣解決這個問題,我想答案就是集成。
開源集成的OSSIM項目開源的安全項目能不能夠拿來整合,怎麼整合?我想應該是可以的,而且已經有人開始做了。
OSSIM,即開源安全信息管理系統(參考:http://www.ossim.net),就是通過將開源產品進行集成,從而提供一種能夠實現安全監控功能的基礎平台。它的目的是提供一種集中式、有組織的,能夠更好地進行監測和顯示的框架式系統。簡言之,OSSIM是用於安全監控的開源架構。
這個架構由數據收集、監視、檢測、審計以及控制台這五個模塊構成。而這五個部分又被劃分為高層的安全信息顯示控制面板、中層的風險和活動監控以及底層的證據控制台和網絡監控這三層,以分別提供不同功能。
作為一個集成式解決方案,OSSIM提供用於對任何層次進行監控的工具和功能,這些層次包括從最低層(給安全人員使用的、詳細的IDS簽名),到最高層,以及其間的任何方面:證據控制台、關聯級別、資產管理、危害明細記錄、以及風險監控。
OSSIM明確定位為一個集成項目,目標並不是要開發一個新的功能,而是利用豐富的、強大的、由全球最優秀的開發人員開發的各種程序(包括Snort、Rrd、Nmap、 Nessus以及Ntop等)。在一個保留他們原有功能和作用的開放式架構下,將他們集成起來。而OSSOM項目的核心工作在於負責集成和關聯各種產品提供的信息。
由於開源項目的優點,這些工具已經是久經考驗、全方位測試、並且可靠的基礎工具。另外,這些工具是開源軟件的事實,意味著任何人都可以審核代碼,他們都不存在軟件後門等的疑慮。所以希望將來優秀的開源項目能夠集成起來,以提供完整的安全解決方案。
enet