Продолжение статьи
Реакция на чрезвычайные ситуации и экспертиза
Mozilla Defense PlatformP(MozDef) автоматизирует процесс реакции на происшествия путем предоставления специалистам платформы для мониторинга, оперативного реагирования и обеспечения безопасности в режиме реального времени. MozDef использует поисковый движок Elasticsearch, веб-платформу Meteor и документоориентированную систему управления базами данных MongoDB для расширения возможностей традиционной системы SIEM, а также для визуализации и осуществления ответных действий в случае взлома. MozDef это серьезная платформа, используемая в настоящее время в браузере Mozilla.
OS X Auditor разбирает и кеширует в работающей системе (или ее копии) расширения ядра, системные агенты и ненужные службы ([демоныk), сторонние агенты, загруженные и установленные файлы. Будучи инструментом для проведения экспертизы, проект экстрадирует пользовательскую информацию файлы, отправленные на карантин; история поиска, куки, скаченные файлы, последняя активная сессия, данные HTML5 и содержание локального хранилища, регистрационные данные, аккаунты в социальных сетях и почтовых службах, сохраненные беспроводные соединения. В процессе экспертной оценки OS X Auditor проверяет репутацию каждого файла, используя множество источников информации.
Разработанный специально для операционных систем Microsoft и Unix, Sleuth Kit позволяет исследователям определять и собирать доказательства из живых систем. Специалисты получают возможность анализировать содержимое файлов, автоматизировать определенные процедуры и осуществлять проверку целостности изображения MD5. Этот проект представляет собой нечто большее, чем просто библиотеку данных и командную строку. Администраторам следует использовать графический интерфейс Autopsy для доступа ко всем возможностям этого инструмента.
GRRPRapid Response это оболочка для реагирования на происшествия в сети, сфокусированная на удаленной экспертизе. Совместима с операционными Linux, OS X и Windows. Исследователи могут установить в изучаемую систему агент Python для оперативного дистанционного анализа памяти, сбора данных для экспертизы и осуществления детализированного мониторинга работы процессора, памяти и системы [ввода/выводаk. GRR использует SleuthKit для обеспечения доступа к системным файлам.
Исследовательские инструменты и сканнеры уязвимостей
nПроект Radare это оболочка для обратного проектирования и инструмент, управляемый командной строкой, разработанный для следующих операционных систем: Android, Linux, BSD, iOS, OS X, Solaris, Haiku, FirefoxOS, QNX, а также для 32- и 64-битной Windows. Проект был запущен в качестве инструмента для анализа и скриптового редактора, но в процессе дополнен библиотеками и инструментами анализа бинарных кодов, программ отладки и подключения к удаленным серверам Gdb. Radare поддерживает широкий спектр инфраструктур, среди которых Intel, ARM, Sparc и PowerPC.
Brakeman это сканер уязвимостей для приложений Ruby on Rails. Он позволяет профессионалам в сфере безопасности анализировать поток данных из одного приложения в другое. Brakeman помогает администраторам выявить проблемы в работе веб-приложений, такие как вставка SQL, обход SSL верификации и уязвимости, могущие стать причиной утечки информации. Brakeman следует использовать в паре со сканером безопасности веб-сайтов.
Quick Android Review KitP(Qark) ищет слабые места систем безопасности приложений для Андроида, будь то исходный код или файлы APK. Инструмент помогает обнаружить случайно экспортированные компоненты, неправильно проведенную проверку подлинности сертификатов x.509, утечку данных, содержание конфиденциальных ключей в исходном коде, слабую или неподходящую криптографию, механизм взлома [tap-jackingk. Qark предоставляет информацию о природе обнаруженных уязвимостей.
Для анализа вредоносного ПО имеется Cuckoo Sandbox автоматизированная аналитическая система, выпущенная в 2010 году в рамках Google проект [Summer of Codek. Cuckoo дает возможность специалистам обезвредить подозрительные файлы и оценивать результаты поведения в изолированной виртуальной среде. Cuckoo осуществляет дамп памяти и анализирует данные, такие как API запросы, логи всех созданных и удаленных файлов. Тем самым он определяет, какую работу в системе выполняет подозрительный файл.
Jupyter это не тот проект, который всецело ориентирован на безопасность. Скорее это блокнот с общим доступом, который важно иметь среди прочих цифровых инструментов. С его помощью профессионалы могут делиться кодами, визуализацией, пояснительным текстом. В проекте имеются дополнительные опции, такие Jupyterhub , многопользовательский сервер, программа для сравнения файлов, Docker stack и пакет OAuth .
