Dissect, Fox-IT’s incident response framework, nu open source

Dissect is een framework voor het verzamelen en analyseren van zeer grote hoeveelheden data in de context van een onderzoek. Het maakt data-acquisitie op duizenden systemen binnen enkele uren mogelijk, ongeacht de aard en omvang van de IT-omgeving die tijdens en na een aanval onderzocht moet worden. Fox-IT heeft Dissect zelf ontwikkeld en maakt dit framework vanaf vandaag voor iedereen beschikbaar als open source software.

Incident response betreft steeds vaker omvangrijke, complexe en hybride IT-infrastructuren die zorgvuldig moeten worden onderzocht op zogeheten Indicators of Compromise (IOC's). Tegelijkertijd moeten slachtoffers van een aanval zo snel mogelijk achterhalen wat er precies is gebeurd en welke acties tegen de aanval ondernomen moeten worden.

Erik Schamper, Senior Security Analyst Fox-IT: “We hebben dit framework ontwikkeld omdat we te maken kregen met steeds complexere IT-omgevingen en Dissect heeft onze incident response mogelijkheden enorm vergroot. We delen Dissect nu als open source software met de security community, met name incident responders van collega securitybedrijven en securityteams van grotere organisaties. We nodigen iedereen in de community uit om bij te dragen aan de verdere ontwikkeling van Dissect, waarvan iedereen zal profiteren. En natuurlijk staan er interessante nieuwe mogelijkheden op de planning waar we te zijner tijd meer over vertellen. Graag wil ik wel nog toevoegen dat uitstekende tools uiteraard helpen, maar we weten dat effectieve incident response uiteindelijk alleen mogelijk is dankzij ervaren en getalenteerde security teams.”

Inge Bryan, Managing Director Fox-IT: “We geloven dat samenwerking cruciaal is om ons doel, een veiligere samenleving, te bereiken. Ons besluit Dissect open source te maken is dan ook een uitnodiging aan iedereen in de security community om samen met ons te werken aan het verwezenlijken van dat doel.”

Nauwkeuriger en specifieker

Met Dissect kunnen incident responders veel sneller grotere hoeveelheden data verzamelen en voorbereiden voor analyse. Dit leidt tot snellere inzichten in welke delen van een infrastructuur zijn gecompromitteerd. Dit betekent bijvoorbeeld dat er beter en sneller beslist kan worden over het isoleren van omgevingen, beslissingen die meestal een substantiële impact op de business hebben. De tijdwinst is uiteraard afhankelijk van de IT-omgeving waarin data moet worden verzameld, maar Fox-IT heeft de ervaring dat data-acquisitie die voorheen twee weken in beslag nam met Dissect in sommige gevallen nog slechts een uur kost.

De onderzoeker kan onder de radar blijven

Dissect opereert zo veel mogelijk ‘onder de radar’, dat wil zeggen dat het framework zijn werk kan doen terwijl dit voor de aanvaller onopgemerkt blijft. Dit is in het bijzonder van belang voor diepgravende onderzoeken, bijvoorbeeld naar statelijke actoren die zelf graag ongedetecteerd blijven. Dissect maakt dit bijvoorbeeld mogelijk door het omzeilen van besturingssysteemfunctionaliteit die mogelijk onder controle van de aanvaller is. Een ander voorbeeld is het ongemerkt verzamelen van data direct vanuit de hypervisor (de virtualisatielaag), waardoor analyse mogelijk is zonder dat de aanvaller het merkt. Fox-IT gebruikt deze functionaliteit geregeld in onderzoeken naar geavanceerde statelijke actoren.