美国CISA提供的免费网络安全服务和工具清单

作为我们降低美国关键基础设施合作伙伴以及州、地方、部落和地区政府网络安全风险的持续任务的一部分，CISA编制了一份免费网络安全工具和服务清单，以帮助组织进一步提升其安全能力。这个活生生的存储库包括CISA提供的网络安全服务、广泛使用的开源工具，以及网络安全社区中私营和公共部门组织提供的免费工具和服务。CISA将实施一个流程，让组织提交额外的免费工具和服务，以便在未来列入该清单。

该清单并不全面，可能会在未来添加之前进行更改。CISA采用中立的原则和标准来添加项目，并对所包含项目的确定保持唯一且不可撤销的自由裁量权。CISA不证明这些服务和工具对任何特定用例的适用性或有效性。CISA不认可任何商业产品或服务。通过服务商标、商标、制造商或其他方式提及特定商业产品、工艺或服务，并不构成或暗示CISA对其的认可、推荐或支持。

修复软件中已知的安全缺陷。检查贵公司使用的软件的CISA已知漏洞（KEV）目录，如果列出，请根据供应商的说明将软件更新至最新版本。注意：CISA不断更新KEV目录，其中包含已知的被利用漏洞。

实现多因素身份验证（MFA）。尽可能使用多因素身份验证。MFA是一种分层方法，用于保护您的在线帐户及其包含的数据。当您在在线服务（如电子邮件）中启用MFA时，您必须提供两个或多个身份验证程序的组合，以在服务授予您访问权限之前验证您的身份。使用MFA保护您的帐户不仅仅是使用用户名和密码。为什么？因为即使一个因素（比如你的密码）被泄露，未经授权的用户也将无法满足第二个身份验证要求，最终阻止他们访问你的帐户。

停止不良行为。立即采取措施：（1）更换不再接收软件更新的报废软件产品；（2） 更换依赖已知/默认/不可更改密码的任何系统或产品；（3）采用MFA（见上文）对重要系统、资源或数据库进行远程或管理访问。

注册CISA的网络卫生漏洞扫描。通过电子邮件注册此服务[email protected].一旦启动，该服务大部分是自动化的，几乎不需要直接交互。CISA执行漏洞扫描并提交每周报告。CISA收到所需文件后，扫描将在72小时内开始，组织将在两周内开始接收报告。注意：漏洞扫描有助于保护面向internet的系统免受薄弱配置和已知漏洞的影响，并鼓励采用最佳做法。

把你的东西从搜索（S.O.S.）上拿下来。虽然零日攻击最受关注，但往往忽略了对网络和物理安全的不太复杂的暴露。让你的东西远离搜索——S.O.S.，减少网络搜索平台上任何人都能看到的网络攻击面。

在上述措施取得进展后，组织可以使用下面列出的免费服务和工具来完善其网络安全风险管理。这些资源根据CISA Insights中概述的四个目标进行分类：立即实施网络安全措施，以防范重大威胁：

CISA通过电子邮件、RSS源和社交媒体向订阅者提供自动更新。订阅CISA出版物发布后的通知。

该服务通过对公共静态IP进行连续扫描，以评估外部网络的存在性，从而查找可访问的服务和漏洞。它每周提供漏洞报告和特别警报。看见https://www.cisa.gov/cyber-resource-hub详细信息。

该服务评估已知和发现的可公开访问网站的潜在漏洞和薄弱配置，以提供降低web应用程序安全风险的建议。看到了吗https://www.cisa.gov/cyber-resource-hub详细信息。

这项服务提供了一个确定人员对网络钓鱼攻击的潜在敏感性的机会。这是一个实践练习，旨在支持和衡量安全意识培训的有效性。看见https://www.cisa.gov/cyber-resource-hub详细信息。

该测试模拟现实世界对手的战术和技术，以识别和验证可利用的路径。此服务非常适合测试外围防御、外部可用应用程序的安全性，以及利用开放源代码信息的可能性。看见https://www.cisa.gov/cyber-resource-hub详细信息。

Immunet是针对Microsoft Windows的恶意软件和防病毒保护系统，它利用云计算提供增强的基于社区的安全性。

Cloudflare DDoS防护保护网站、应用程序和整个网络的安全，同时确保合法流量的性能不受损害。

SSL（安全套接字层）是在web服务器和浏览器之间建立加密链接的标准安全技术。Cloudflare允许任何internet属性通过单击按钮使用SSL。

此功能通过在隔离浏览环境中打开Microsoft Edge来提供隔离浏览，从而更好地保护设备和数据免受恶意软件的攻击。

Windows中的受控文件夹访问通过保护设备上的文件夹、文件和内存区域不受不友好应用程序未经授权的更改，帮助抵御勒索软件等威胁。

此工具用于保护和检测端点威胁，包括基于文件和无文件的恶意软件。内置于Windows 10和11以及Windows Server版本中。

该工具帮助组织保护其关键的国家网络资产。该工具为用户提供了一种系统且可重复的方法来评估其网络系统和网络的安全态势。它包括与所有工业控制和It系统相关的高级和详细问题。

此工具旨在帮助识别设备和应用程序。电子表格可用于跟踪硬件、软件和敏感信息。

这个针对Android设备的工具旨在帮助阻止用户访问带有病毒或其他恶意软件的已知网站。

此工具旨在防止计算机和设备连接到恶意软件或钓鱼网站。

此工具集可识别网络上已知的钓鱼和恶意软件，并帮助通知用户和网站所有者潜在的危害。它被集成到许多主要产品中，并为网站管理员提供工具。

Project Shield是一项免费服务，用于保护新闻、人权和选举监控网站免受DDoS攻击

reCAPTCHA使用先进的风险分析引擎和适应性挑战来防止恶意软件对用户进行滥用活动'；s的网站。

Web Risk API是谷歌云的用户保护服务，旨在降低针对用户生成内容的威胁风险。Web Risk API允许组织将其环境中的URL与超过100万个不安全URL的存储库进行比较。

该工具通过评估用户的安全性和数据攻击面，帮助用户加强安全态势；提供资产清查和发现；识别错误配置、漏洞和威胁；帮助他们缓解和补救风险。

OSS Fuzz旨在通过将现代模糊技术与可伸缩的分布式执行相结合，使通用开源软件更加安全和稳定。

Go-Safe Web是一个库集合，用于在Go中编写默认安全的HTTP服务器。

OSV是一个漏洞数据库和分类基础设施，用于开源项目，旨在帮助开源维护者和开源用户。

安全记分卡是开放源代码安全健康指标的集合，允许用户在使用前评估开放源代码包的安全实践。结果作为谷歌云大查询数据集公开。

Tink是一个多语言、跨平台、开源的库，它提供了安全、易于正确使用且不易误用的加密API。

该服务提供大量安全资源，包括安全蓝图、白皮书、威胁报告和有关最近漏洞的信息。

Tsunami是一款通用网络安全扫描仪，带有可扩展插件系统，用于检测高度机密的高严重性漏洞。

OpenDNS阻止那些试图通过假装是合法网站来窃取你的身份和登录信息的钓鱼网站。

CRT是一个免费的社区工具，旨在帮助组织快速、轻松地审查Azure广告环境中的过度权限。CRT有助于确定配置弱点，并提供建议以降低此风险。

这个免费版本的漏洞评估解决方案包括远程和本地（经过身份验证的）安全检查、具有基于web的界面的客户端/服务器体系结构，以及用于编写自己的插件或理解现有插件的嵌入式脚本语言。默认情况下限制为16台主机。

该工具利用外星人实验室OTX提供的数据，帮助确定端点是否在重大网络攻击中受损。通过使用OTX扫描IOC，快速查看所有端点上的威胁。

OTX为威胁研究人员和安全专业人员的全球社区提供了开放访问。它提供社区生成的威胁数据，支持协作研究，并使用来自任何来源的威胁数据自动更新安全基础设施。OTX使安全社区中的任何人都能够积极讨论、研究、验证和共享最新的威胁数据、趋势和技术。

ClamAV是一个开源（通用公共许可[GPL]）防病毒引擎，用于各种情况，包括电子邮件和web扫描，以及端点安全。它为用户提供了许多实用程序，包括一个灵活且可扩展的多线程守护程序、一个命令行扫描程序，以及一个用于自动更新数据库的高级工具。

Kali Linux包含数百个针对各种信息安全任务的工具，如渗透测试、安全研究、计算机取证和逆向工程。

Cloudflare Zero Trust服务是必不可少的安全控制措施，可使员工和应用程序在3个网络位置和最多50个用户之间保持在线保护。服务包括：零信任网络访问；安全的网络网关，到IP/主机的专用路由；HTTP/S检查和过滤器；网络防火墙即服务；DNS解析和过滤器；以及云访问安全代理。

Sysinternals Security Utilities是用于诊断、故障排除和深入了解Windows平台的免费可下载工具。

Windows中的内存完整性也被称为Hypervisor protected code integrity（HVCI）——是Windows的一种安全功能，使得恶意程序难以使用低级驱动程序劫持计算机。

RiskIQ社区提供对互联网情报的免费访问，包括数千篇OSIT文章和工件。社区用户可以通过攻击者的基础设施数据来调查威胁，了解互联网上暴露的数字资产，并绘制和监控其外部攻击面。

IBM X-Force Exchange是一个基于云的威胁情报平台，允许用户使用、共享威胁情报，并对其采取行动。它使用户能够对最新的全球安全威胁进行快速研究，聚合可采取行动的情报，咨询专家，并与同行协作。

该信息安全预警系统允许您：通过基于图形的映射创建全面的可见性；知道资产何时变化，以保持领先于威胁；并赋予安全行动以减轻现实世界的威胁。

免费访问Mandiant威胁情报门户可帮助用户了解最新的安全趋势，主动搜寻威胁参与者，并确定响应活动的优先级。

SALO是一个生成合成日志事件的框架，无需基础设施或操作来启动导致日志事件的事件。

该工具简化了收集斜接ATT&；来自博客或PDF的CK®技术和映射ATT&；CK TTPs以显示检测内容。

该工具可以在可重复的云支持（或内部部署）实验室中进行模拟攻击，重点是原子红色团队集成。

Splunk Training是一个免费的托管平台，用于按需培训，提供针对特定攻击和现实场景的动手练习。

炭黑用户交换提供了对全球安全专业人士社区共享的实时威胁研究数据的访问。

此基于Java的工具用于查找web应用程序中的漏洞。它包括一个web流量记录器、web spider、哈希计算器和一个扫描仪，用于测试常见的web应用程序攻击，如SQL注入和跨站点脚本。

WMI命令行（WMIC）实用程序为Windows Management Instrumentation（WMI）提供命令行界面。WMIC与现有Shell和实用程序命令兼容。

此工具组装并发送自定义ICMP、UDP或TCP数据包，然后显示任何回复。它可以用于执行安全评估。

Aircrack是一套用于测试无线网络密码强度的工具。

Nikto是一款开源（GPL）web服务器扫描仪，可以针对多个项目对web服务器执行漏洞扫描，包括危险文件和程序。Nitko检查web服务器软件的过时版本。它还检查服务器配置错误以及它们可能引入的任何漏洞。

W3af是一个用于查找和利用web应用程序漏洞的灵活框架，具有数十个web评估和利用插件。

该工具允许Mac用户在虚拟机中运行Windows、Linux、容器、Kubernetes等，而无需重新启动。

PhishInSuits（pis.py）工具针对BEC攻击等场景进行安全评估和测试控制框架。它将这种非法同意攻击与基于短信的网络钓鱼相结合，以模拟BEC活动，并包括自动数据过滤功能。

WhiskySaML工具自动远程提取ADFS签名证书。然后，WhiskySaml使用该签名证书发起Golden SAML攻击，并模拟目标组织内的任何用户。

该工具旨在通过Burp Collaborator通过DNS过滤盲远程代码执行输出。

此工具是针对Microsoft Office 365的用户名枚举和密码喷洒工具。

Tachyon是一种快速的web应用程序安全侦察工具。它的设计目的是对web应用程序进行爬网，并通过添加报告页面或泄漏内部数据的脚本（也称为盲爬网）来查找遗留文件或未编制索引的文件。它在命令行中使用，并针对特定的域。Tachyon使用内部数据库快速构建这些盲查询。

Vane2是WordPress网站漏洞扫描工具。它旨在针对WordPress网站，识别相应的WordPress版本及其安装的插件，以便报告每个网站上的已知漏洞。

Batea是机器学习在测试和网络侦察中的一个实际应用。它使用地图报告，并使用基于机器学习算法的异常检测系列的上下文驱动网络设备排名框架。Batea的目标是允许安全团队使用nmap扫描报告自动过滤大型网络中感兴趣的网络资产。

该工具扫描基础设施，如代码（IaC）、容器映像、开放源代码包和管道配置，以查找安全错误。通过数百个内置策略，Checkov可以在开发人员工具（CLI、IDE）和工作流（CI/CD管道）中发现代码中的错误配置和漏洞。

ATOMs是几个常见威胁对手观察到的行为的免费存储库，映射到MITRE ATT&；CK框架。原子可以通过目标扇区、区域或恶意软件进行过滤，以便于信息共享和部署推荐的安全缓解措施。

ClusterFuzz是一个可扩展的模糊基础设施，可以发现软件中的安全性和稳定性问题。它也是Google OSS Fuzz的fuzzing后端。ClusterFuzz Lite是基于ClusterFuzz的简单CI集成模糊化。

此工具可保护和检测端点威胁，包括基于文件和无文件的恶意软件。内置于Windows 10和11以及Windows Server版本中。

Microsoft Safety Scanner是一款扫描工具，旨在查找和删除Windows计算机上的恶意软件。它可以运行扫描以查找恶意软件，并尝试逆转已识别威胁所做的更改。

该工具由微软每月定期发布，作为Windows Update的一部分或作为独立工具。它可以用来发现和消除特定的普遍威胁，并扭转他们所做的改变。

MSTICPy是一个不受SIEM影响的Python工具包，供安全分析师协助调查和寻找威胁。它主要设计用于Jupyter笔记本电脑。

该服务可识别网络上已知的钓鱼和恶意软件，并帮助通知用户和网站所有者潜在的危害。它被集成到许多主要产品中，并为网站管理员提供工具。

该工具用于将基于syslog的数据获取到Splunk中，包括用于数据过滤和解析的函数。

企业日志搜索和归档（ELSA）是一个三层日志接收器、归档器、索引器和web前端，用于接收系统日志。

该存储库包含一个PowerShell模块，用于检测可能是UNC2452和其他威胁参与者活动指标的工件。一些指标是"；高保真度"；妥协指标；其他人工制品是所谓的"；两用"；人工制品两用工件可能与威胁参与者的活动有关，但也可能与合法功能有关。

VirusTotal使用70多个防病毒扫描程序和URL/domain blocklisting服务以及各种工具检查项目，从研究内容中提取信号。用户可以通过浏览器从计算机中选择文件并将其发送到VirusTotal。提交文件可以使用基于HTTP的公共API以任何编程语言编写脚本。

Netfilter是在标准Linux内核中实现的数据包过滤器。用户空间iptables工具用于配置。它支持包过滤（无状态或有状态）、多种网络地址和端口转换（NAT/NAPT）以及用于第三方扩展的多个API层。它包括许多不同的模块，用于处理不规则的协议，例如FTP。

Wireshark是一款开源的多平台网络协议分析器，允许用户检查来自实时网络或磁盘上捕获文件的数据。该工具可以交互浏览捕获数据，深入到所需的数据包细节级别。Wireshark具有多种功能，包括丰富的显示过滤语言和查看TCP会话重建流的能力。它还支持数百种协议和媒体类型。

eTerCap是一套针对局域网上中间对手攻击的套件，包括监听实时连接、动态内容过滤和许多其他功能。它支持多种协议的主动和被动解剖（包括

......