2min

Fox-IT heeft de eigen tool voor het automatiseren van incident responsewerkzaamheden Dissect open-source gemaakt. Hiermee hoopt de securityspecialist dat andere securitybedrijven mee gaan helpen de mogelijkheden van deze tool verder uit te bouwen.

De tool Dissect van de securityspecialist is eigenlijk een tool die verschillende andere tools, waaronder zogenoemde parsers voor schijfanalyse en tools voor het bijhouden van Windows log events, in een enkele omgeving bundelt.

Andere parsers die in de tool zijn gebundeld, zijn onder meer oplossingen voor containers, bestandssystemen, besturingssystemen en volumes. Bovendien kunnen plug-ins worden geïnstalleerd voor het onderzoeken van onder andere de browsergeschiedenis.

Functie Dissect

Concreet helpt Dissect met het automatiseren van onderzoeken van bijvoorbeeld ransomware-aanvallen. Bestaande open-source of commerciële tooling hiervoor zou volgens Fox-IT niet aan de eisen voldoen, vooral als het gaat om snelheid. De securityspecialist heeft daarom zijn eigen oplossing gebouwd die nu dus zelf open-source wordt gemaakt.

Vooral helpt de oplossing bij het in kaart brengen van het netwerk tijdens zogenoemde APT-aanvallen. Hierbij moeten onderzoekers zich niet zichtbaar maken tegenover de aanvallers en moeten daarom een forensische kopie maken van de hele netwerkomgeving. Dit kost vaak veel tijd en is vooral bij grote bedrijven een flink probleem.

Dissect moet het door automatisering mogelijk maken dergelijke complexe netwerken in enkele uren te analyseren. Vervolgens kunnen securityspecialisten sneller actie ondernemen.

Openbaar voor verbetering

De broncode en bijbehorende documentatie van Dissect is inmiddels beschikbaar op GitHub. Fox-IT hoopt met het openbaar maken van deze code dat andere securitybedrijven de oplossing ook gaan gebruiken en mee gaan helpen deze te verbeteren.