Rapid7的小企业渗透测试软件Metasploit也有免费版。简单的Web界面可以让公司安全地模拟网络攻击的情景，并发现对应的安全问题。

　　密码管理

虽然密码管理工具已经存在多年，但用户正在放弃这类软件，因为它们往往自动性太差，或者难以配置和管理。但新的密码管理软件，比如LastPass，更加自动化且易于使用。LastPass提供电脑免费版，如果付费即可下载智能手机和平板电脑端的应用程序。

它非常直观，如果密码库中有你登录的网站对应的密码，它会自动发出通知。

　　Windows安全

有些时候安全功能就藏在人们眼皮底下。微软的WSUS和EMET有时候可能会被一些公司高估，但它们的确是不错的软件。

EMET可以强迫程序与Windows使用不同的安全机制。举例而言，EMET使用几种不同的存储器寻址保护策略，使恶意软件更难找到用于执行的内存空间。而且它的证书锁定方面的高级功能可以帮助防止钓鱼攻击，并可通过组策略对象将EMET配置在企业环境中。

根据Verizon的DBIR 2015报告，绝大多数的攻击都是利用那些补丁已经发布数月的漏洞完成的，所以保持系统更新对于防止漏洞被利用有极大的作用。想要确保设备以受控且适当的方式安装更新是巨大的负担，但这完全可以通过正确使用WSUS和组策略来自动完成。而且WSUS还可以推送第三方更新，比如Java、Adobe Flash，并使用不同的开源软件发布者。微软的安全工具都是免费许可给Windows软件或服务器客户的。

　　恶意软件检测及分析

佛罗里达州安全培训公司KnowBe4的联合创始人信息安全培训专家斯图·苏沃门储备有两种免费安全工具。

　　Malwarebytes在应对勒索软件方面表现出色。”--苏沃门

这个免费的扫描器会检测和清除蠕虫、木马、后门、流氓和间谍软件这类的恶意软件。高级版中还提供更多的保护工具，比如实时扫描、自动阻止恶意软件和网站感染电脑。

ModSercurity是一个开源的网页应用防火墙。它提供的功能包括：Web应用实时监控、登录、访问控制。

将恶意软件在沙盒中触发并进行安全分析的事件响应团队可能会想尝试Maltrieve，这是一个免费软件，可以将恶意软件分析到源代码级别，以供安全研究所用。“它会解析URL列表，得到恶意软件的位置信息”，还支持其它诊断和恶意软件分析工具，苏沃门说。

　　安全培训

对那些希望提升渗透测试技术和知识的公司而言，推荐使用Root the Box开源平台。这是一个实时的信息安全对抗评分系统，黑客可以通过它磨练自己的技术。Root the Box试图将新手和有经验的黑客联合在一起，构建一个有趣的游戏环境，并包括一些适用于现实世界的实际挑战。

　　这是我最喜欢的免费工具，因为它针对的是当今最大的威胁——缺乏掌握安全知识的专业人员”--Silvers信息安全咨询公司的首席顾问克里斯·席维斯

　　使用免费安全工具的建议

在使用任何免费安全工具之前，先咨询一下安全行业的同行，并了解这些工具是如何使用的、为什么适合他们。接下来，应该看看与这一工具相关的开发者社区活跃度，“如果只有一个开发者，或者开源项目中积极的贡献者们只是一个小团体，这个工具很可能夭折”，韦斯特维尔特说。

最后，确定这个工具在工作中的实用性。不能因为引入一个新的工具而破坏整个工作流程。否则不仅影响个人的工作，还会进一步影响整个团队的运作。要多加思考为什么需要这个新的工具，也许引入一项过程改进就能解决问题。

威胁环境是不断变化的，安全人员必须随时准备快速吸收和使用新的工具。因此一个技能高度熟练的安全团队会事半功倍。

　　我最好的工具是与同事们的关系，以及我的团队对使用工具进行的培训。”--罗布·韦斯特维尔

(责任编辑：安博涛)