Проекты кибербезопасности GitHub с открытым исходным кодом, разработанные и поддерживаемые преданными участниками, предоставляют ценные инструменты, фреймворки и ресурсы для улучшения методов обеспечения безопасности.
От сканирования уязвимостей и мониторинга сети до шифрования и реагирования на инциденты, следующая подборка охватывает широкий спектр проектов, которые могут помочь отдельным лицам и организациям в защите своих цифровых активов.
ATT & CK Navigator
ATT & CK Navigator позволяет пользователям перемещаться по матрицам ATT & CK и комментировать их, аналогично использованию Excel. Она предоставляет способ визуализации защитного покрытия, планирования действий красной / синей команды и отслеживания частоты применения технических средств. Это позволяет пользователям манипулировать ячейками матрицы, такими как добавление комментариев или цветовое кодирование.
Его главной особенностью является возможность создания пользовательских представлений, называемых слоями, которые предлагают персонализированные перспективы базы знаний ATT & CK. Слои можно создавать интерактивно или программно, а затем визуализировать с помощью навигатора.
Cryptomator
Cryptomator – это мультиплатформенная программа с открытым исходным кодом, которая обеспечивает шифрование файлов, хранящихся в облаке, на стороне клиента.
В отличие от многих облачных провайдеров, которые обычно шифруют данные только во время передачи или сами сохраняют ключи дешифрования, Cryptomator гарантирует, что ключ к их данным есть только у пользователя. Такой подход сводит к минимуму риск кражи ключей, копирования или неправильного использования.
Cryptomator также позволяет пользователям получать доступ к своим файлам с любого из своих устройств.
Cutter
Cutter – это бесплатная платформа обратного инжиниринга с открытым исходным кодом, использующая Rizin в качестве основного движка. Это позволяет пользователям получать доступ к многочисленным функциям либо через графический пользовательский интерфейс (GUI), либо через встроенный терминал.
Cutter предлагает широкий спектр виджетов и функций для повышения удобства процесса обратного проектирования. Его выпуски полностью интегрированы с собственным декомпилятором Ghidra, что устраняет необходимость в Java.
Dismap
Dismap – это инструмент, используемый для обнаружения и идентификации активов, особенно для таких протоколов, как web, TCP и UDP. Она определяет различные типы активов и применима как к внутренним, так и к внешним сетям. Это помогает персоналу red team в выявлении активов с потенциальным риском и поддерживает персонал blue team в обнаружении подозрительных хрупких активов.
База правил отпечатков пальцев Dismap включает отпечатки пальцев по протоколам TCP, UDP и TLS, а также более 4500 правил веб-отпечатков пальцев. Эти правила облегчают идентификацию таких элементов, как значок, тело, заголовок и другие соответствующие компоненты.
Faraday
Faraday – это менеджер уязвимостей с открытым исходным кодом, предназначенный для оказания помощи в обнаружении уязвимостей и улучшении усилий по исправлению. Это помогает специалистам по безопасности, предоставляя платформу, позволяющую сосредоточиться на поиске уязвимостей, одновременно оптимизируя процесс организации их работы. Faraday используется через терминал и позволяет пользователям пользоваться преимуществами инструментов сообщества в многопользовательской среде.
Одной из ключевых особенностей Faraday является его способность агрегировать и нормализовать загруженные в него данные. Это позволяет менеджерам и аналитикам изучать данные с помощью различных визуализаций, способствуя лучшему пониманию уязвимостей и помогая в процессах принятия решений.
Hayabusa
Hayabusa – это быстрый генератор временной шкалы для судебной экспертизы журнала событий Windows и инструмент поиска угроз. Она реализована на языке программирования Rust и включает многопоточность для оптимизации ее скорости. Инструмент включает функцию преобразования правил Sigma в формат правил Hayabusa.
Правила обнаружения, совместимые с Hayabusa, написаны на языке YAML, что позволяет легко настраивать и расширять их. Hayabusa можно использовать различными способами, включая оперативный анализ отдельных систем, автономный анализ путем сбора журналов из одной или нескольких систем или в сочетании с Velociraptor для поиска угроз в масштабах предприятия и реагирования на инциденты.
Сгенерированные выходные данные объединяются в единую временную шкалу CSV, что облегчает анализ в популярных инструментах, таких как LibreOffice, Timeline Explorer, Elastic Stack, Timesketch и других.
ImHex
ImHex – это шестнадцатеричный редактор: инструмент для отображения, декодирования и анализа двоичных данных с целью обратного проектирования их формата, извлечения информации или исправления значений в них.
Она обладает множеством расширенных функций: полностью настраиваемый двоичный шаблон и язык шаблонов для декодирования и выделения структур в данных, графический процессор обработки данных на базе узла для предварительной обработки значений перед их отображением, дизассемблер, поддержка различий, закладки и многое-многое другое. В то же время ImHex является полностью бесплатным с открытым исходным кодом под лицензией GPLv2.
Kubescape
Kubescape – это платформа безопасности Kubernetes с открытым исходным кодом для IDE, конвейеров CI / CD и кластеров. Он предлагает такие функции, как анализ рисков, оценка безопасности, проверки соответствия требованиям и обнаружение неправильных настроек.
Kubescape сканирует различные компоненты, включая кластеры, файлы YAML и диаграммы Helm. Для выявления неправильных настроек в ней используются несколько фреймворков, таких как NSA-CISA, MITRE ATT & CK и CIS Benchmark.
Matano
Matano – это облачная платформа Security Lake с открытым исходным кодом, которая служит альтернативой SIEM (управление информацией о безопасности и событиями). Это позволяет отслеживать угрозы, обнаруживать, реагировать и анализировать кибербезопасность в огромных петабайтных масштабах на платформе AWS.
С Matano пользователи могут собирать данные с помощью методов приема данных на основе S3 (simple storage service) или SQS (simple queue service). Она поставляется с предварительно настроенными источниками, такими как CloudTrail, Zeek и Okta, а также автоматически извлекает данные журнала из всех ваших источников SaaS.
Malwoverview
Malwoverview – это инструмент, используемый для поиска угроз. Она предназначена для первоначальной и быстрой оценки образцов вредоносных программ, URL-адресов, IP-адресов, доменов, семейств вредоносных программ, IOC и хэшей.
Она предлагает возможность генерировать динамические и статические отчеты о поведении и позволяет пользователям отправлять и загружать образцы с различных конечных точек. Он служит клиентом для установленных изолированных сред, позволяя эффективно анализировать потенциальные угрозы.
Metasploit Framework
Metasploit Framework – это модульная платформа тестирования на проникновение на базе Ruby. Это позволяет пользователям писать, тестировать и выполнять код эксплойта.
Он содержит набор инструментов, используемых для тестирования уязвимостей безопасности, перечисления сетей, выполнения атак и уклонения от обнаружения.
По сути, это набор широко используемых инструментов, которые предлагают полную среду для тестирования на проникновение и разработки эксплойтов.
MISP
MISP – это программное решение с открытым исходным кодом, используемое для сбора, хранения, распространения и совместного использования показателей кибербезопасности и угроз, связанных с инцидентами кибербезопасности и анализом вредоносных программ. Она специально разработана для аналитиков инцидентов, специалистов по безопасности и ИКТ или специалистов по устранению вредоносных программ для поддержки их повседневных операций по эффективному обмену структурированной информацией.
Основная цель MISP – облегчить обмен структурированной информацией среди сообщества безопасности и за его пределами. Она предлагает различные функциональные возможности для обеспечения обмена информацией и использования такой информации сетевыми системами обнаружения вторжений (NIDS), системами обнаружения вторжений на основе журналов (LIDS), а также инструментами анализа журналов и системами SIEM.
Nidhogg
Nidhogg – это руткит, разработанный для red teams, предлагающий различные функции для поддержки обязательств red team. Это универсальный и удобный руткит, который можно легко интегрировать в вашу платформу C2 framework с помощью одного заголовочного файла.
Nidhogg совместим с x64 версиями Windows 10 и Windows 11. Репозиторий включает драйвер ядра и заголовочный файл C ++ для целей обмена данными.
RedEye
RedEye – аналитический инструмент с открытым исходным кодом, созданный CISA и Тихоокеанской северо-Западной национальной лабораторией Министерства энергетики. Ее цель – поддержать Red Teams в анализе действий командования и контроля и составлении отчетов о них. Она помогает операторам оценивать стратегии смягчения последствий, визуализировать сложные данные и принимать обоснованные решения на основе результатов оценки Red Team.
Инструмент предназначен для анализа журналов, особенно тех, которые генерируются Cobalt Strike, и представления данных в удобном для пользователя формате, который легко понять. Пользователи имеют возможность помечать и добавлять комментарии к действиям, отображаемым в инструменте, улучшая совместную работу и анализ. RedEye также предлагает режим презентации, который позволяет операторам демонстрировать свои выводы и рабочий процесс заинтересованным сторонам.
SpiderFoot
SpiderFoot – это инструмент автоматизации аналитики с открытым исходным кодом (OSINT). Она интегрируется с различными источниками данных и использует разнообразные методы анализа данных, облегчая навигацию по собранной информации.
Он оснащен встроенным веб-сервером, который предлагает удобный веб-интерфейс. В качестве альтернативы, им можно управлять полностью через командную строку. Инструмент написан на Python 3 и выпущен по лицензии MIT.
System Informer
System Informer – это бесплатный многоцелевой инструмент, который позволяет пользователям отслеживать системные ресурсы, отлаживать программное обеспечение и обнаруживать вредоносные программы.
Он предлагает следующие функции:
- Четкий обзор запущенных процессов и использования ресурсов
- Подробная информация о системе и графики
- Просмотр и редактирование сервисов
- Другие функции, полезные для отладки и анализа программного обеспечения
Tink
Tink – это криптографическая библиотека с открытым исходным кодом, разработанная криптографами и инженерами по безопасности Google. Он предлагает безопасные и удобные для пользователя API, которые сводят к минимуму распространенные ошибки благодаря ориентированному на пользователя подходу к проектированию, тщательной реализации и проверке кода, а также тщательному тестированию.
Tink специально разработан, чтобы помочь пользователям без опыта работы с криптографией безопасно выполнять криптографические задачи. Она была развернута во многих продуктах и системах Google.
Vuls
Vuls – это сканер уязвимостей, разработанный для Linux, FreeBSD, Container, WordPress, библиотек языков программирования и сетевых устройств.
Это инструмент без агента и обладает следующими функциями:
- Выявление уязвимостей системы
- Предоставляет информацию о затронутых серверах
- Автоматическое обнаружение уязвимостей
- Регулярные отчеты об уязвимостях с использованием таких методов, как CRON
Wazuh
Wazuh – это бесплатная платформа с открытым исходным кодом, которая предлагает возможности предотвращения угроз, обнаружения и реагирования. Ее можно использовать для защиты рабочих нагрузок в различных средах, включая локальные, виртуализированные, контейнерные и облачные настройки.
Она состоит из двух основных компонентов: агента безопасности конечных точек и сервера управления. В отслеживаемых системах установлен endpoint security agent, который отвечает за сбор данных, связанных с безопасностью. Сервер управления получает данные, собранные агентами, и выполняет их анализ.
Она была полностью интегрирована со стеком Elastic, предоставляя поисковую систему и инструмент визуализации данных. Эта интеграция позволяет пользователям просматривать свои оповещения о безопасности и получать представление о собранных данных.
x64dbg
x64dbg – двоичный отладчик с открытым исходным кодом, разработанный для операционных систем Windows. В ней основное внимание уделяется анализу вредоносных программ и обратному проектированию исполняемых файлов, когда исходный код недоступен.
Ключевые особенности x64dbg включают:
- Настраиваемость: пользователи могут писать плагины на C ++, настраивать цвета и настройки в соответствии со своими потребностями.
- поддержка x64 / x32: он может обрабатывать приложения как x64, так и x32, предоставляя унифицированный интерфейс для отладки.
- Построенный на библиотеках с открытым исходным кодом: x64dbg использует Qt, TitanEngine, Zydis, Yara, Scylla, Jansson, lz4, XEDParse, asmjit и snowman.
- Простая разработка: Программное обеспечение разработано с использованием C ++ и Qt, что позволяет эффективно добавлять новые функции.
- Скриптопригодность: x64dbg имеет интегрированный и отлаживаемый язык сценариев, подобный ASM.
- Осведомленность сообщества: Многие функции x64dbg были задуманы или реализованы сообществом обратного проектирования.
- Расширяемость: пользователи могут создавать плагины для добавления пользовательских команд скрипта или интеграции внешних инструментов.