网络漏洞管理公司Rapid7 已承包了Metasploit项目以及当下大受欢迎的Metasploit框架的黑客工具。
这次承包的财务方面的条款还未被披露出来。Rapid7的产品和运营副总裁Corey Thomas 说Metasploit将仍然保持为一个使用免费许可的开源项目,但同时还将有赖于全职开发和品质保证的职员。Metasploit的创建人H.D. Moore和其他几位重要的贡献者都加入了Rapid7。
Moore是作为Metasploit的总设计师加入Rapid7的,他监控全程开发并且还作为首席安全官(CSO)负责推进公司的大部分安全和产品战略。Moore说这次的承包将有益于巩固这一项目。
他说:“将一件事情作为业余爱好而花时间、人力和资源来运转它一直是我的梦想。这是种延续我的目标的方式,让那种技术成为帮助人们使用攻击代码测试他们产品的安全性能的贴心伴侣。”
这次承包对项目有益
Moore牺牲了时间——他尽可能地抽时间为这个项目工作——InGuardians的创始人兼高级安全顾问Ed Skoudis说,对这一安全领域来说全职员工和资金的投入是个好消息。
他还说:“我希望这些钱和增加的时间能够对HD和其他的开发者起到作用,达到改进某些新的令人振奋的Metasploit攻击测试的稳固性的目的。”
Burton Group的安全和风险管理策略副总裁Eric Maiwald 说,Rapid7将会受益于对这一成熟的攻击测试平台和项目组既有的研究成员的引入。
他说“开发团队已经有了,Rapid7不需要再去构建;他们早已互相熟识并已建立起了一体化的研究团队。如果他们还能够继续维持既有的外部协助,他们将会收获更多的人力,而不是仅仅在雇佣当下的一群聪明人为他们干活。”
Rapid7 弱点管理解答(NeXpose)的整合
Thomas 说,Rapid7正致力于整合它的NeXpose产品的漏洞评估和Metasploit的攻击能力以改进风险评分和区分漏洞优先级。
他还说,“NeXpose将融入到Metasploit中,这有助于优化渗透测试者将漏洞数据放入渗透测试平台的过程,我们正在致力于开发自动操作。”
Skoudis说他希望这一融合会减少漏洞评估扫描带来的误报问题。攻击片段证实了这一漏洞的确存在。此外,这一方式正朝着更好的渗透测试自动化方向迈进。
他还引证了SAINT公司的合并产品,补充说,合并漏洞评估和渗透测试工具是种大趋势。
他说,“这两个完全分开的市场现在正趋于合并。结果将会带来更具能力的产品、更有用的信息、更少的误报,并且将会使渗透测试人员更好地理解商业风险。”
Burton Group的Maiwald也认为这一融合改进了漏洞扫描的精准性,但是Rapid7必须要做一些相应的工作。
他还说,“他们(Rpaid7)为改进精准性和报告还有更多的工作要做,他们还承认自己在区分优先次序上有更多的工作要做。至于他们如何对发现的漏洞划分优先次序,在我们看到有显著的改进之前,还需要一段时间的等待。”
Metasploit框架广泛地被渗透测试人员所使用。它被用来在远程机器上开发、测试并且执行攻击代码。这个项目提供渗透测试资源以及有关漏洞的信息。
NeXpose通过扫描Web应用程序、网络、数据库、操作系统、群件系统(Lotus Notes)以及其他的软件来查找漏洞、评估风险并推荐补救方式。
当问及Rapid7是否会开发一个Metasploit框架的商业版本以与诸如Immunity 和Core Security公司的商业黑客工具竞争时,Thomas没有对此表态。
他说,“我们现在有一种更快的方式达到改善稳定性、安装和组建以及扩展覆盖面的目的。我们已经和那些对更多的特征和功能感兴趣的人们交流过了,他们知道这些改进需要更多的投资并且愿意付费,所以这还有待协调。”
Moore说他过去曾与投资者接洽过,那些投资者们有意将Metasploit转化为一种商业产品,但是他对此没有兴趣考虑。
他还说,“Rapid7明确表示他们确实在关心这一团体,他们不仅想要为现在的Metasploit扩展天地,还在计划为NeXpose产品构建一个同样的团体。”
【编辑推荐】