为了帮助企业上云过程中能够有效保护数据和关键资产的安全，美国网络安全和基础设施安全局（CISA）日前发布了一份《面向云环境的免费安全工具》白皮书，为组织的网络安全防御者和事件响应团队提供了可用于在云上威胁检测和漏洞修复的建议参考。白皮书强调了评估组织安全态势的重要性，尤其是在混合云的应用环境中，而正确识别和利用开源工具将帮助网络防御者增强安全性、检测威胁和提高事件响应能力。

在白皮书中，重点推荐了一些免费开源工具，以增强云上业务系统运行的安全性，具体包括：网络安全评估工具（CSET）、SCuBAGear、Goose工具、Decider和 CERT  Memory Forensic on Cloud。通过使用这些工具，企业网络防御者可以最小地投入成本改善组织的云安全态势，为缓解网络事件、检测恶意活动和增强云应用弹性提供帮助。报告同时指出，尽管开源工具能够帮助企业改善云环境中的安全态势，但并不能涵盖云安全建设的所有方面，需要通过付费工具和服务进行补充。

01

网络安全评估工具CSET

CSET是由CISA开发的一款网络安全评估工具，可以协助企业评估组织网络系统与应用的安全态势。CSET通过收集组织的系统组件、网络架构、操作策略、运营过程等各方面的详细信息，为企业提供安全态势观察分析报告，并提供已确定优先级的安全建议，以优化组织的网络安全能力。任何拥有云计算应用的企业组织都可以使用CSET来确定组织云安全的缺口和将来需要投入的方面。

02

SCuBAGear M365安全配置基线评估工具

SCuBAGear是CISA安全云业务应用程序（SCuBA）项目的一部分，该项目早期是为FCEB机构提供指导，以保护其云业务应用程序环境和保护在这些环境中创建、访问、共享和存储的联邦信息。目前，SCuBAGear也可以为各类企业提供云环境应用安全的指导。SCuBAGear M365 SCB评估工具可以验证企业在云上的M365租户配置是否符合CISA所要求的最低可行安全配置。该工具创建的HTML报告着重显示偏离安全基线的情况和策略。工具适合拥有M365租户的企业组织使用，可以快速识别和缓解云安全配置缺口。

03

Goose工具

CISA与桑迪亚国家实验室一起开发了一款Goose工具，以帮助网络防御者在Microsoft Azure、AAD和M365环境中搜索和响应事件。该工具允许网络御者查询、导出和调查审计日志、统一审计日志（UAL）、Azure活动日志和Microsoft Defender for Endpoint（MDE）数据。据白皮书介绍，CISA开发此工具是为了填补PowerShell工具的缺口，以前这类工具通常缺乏支持Azure、AAD和M365调查的数据收集功能，导致企业忽视了大量的关键数据。

04

Decider工具

对于CISA来说，了解恶意行为通常是保护网络和数据的重要环节，可以提高网络防御者在检测和缓解恶意网络操作方面的成功率。因此，CISA一贯鼓励安全研究人员利用MITRE ATT&CK框架，将观察到的威胁分子行为与已定义的战术和技术对应起来。在此基础上，CISA与美国系统工程与设计所（HSSEDI）联合开发了Decider工具，可帮助安全分析师将观察到的攻击活动与MITRE ATT&CK框架对应起来。该工具通过提供逐步指南（包括针对云系统所使用的技术），从而使对应到ATT&CK变得更容易。

参考链接：

https://www.cisa.gov/resources-tools/resources/free-tools-cloud-environments