Fox-IT maakt eigen incident response-tool open source

Volgens Fox-IT betreft incident response steeds vaker omvangrijke, complexe en hybride IT-infrastructuren, die onderzocht moeten worden op indicatoren dat ze gecompromitteerd zijn. Maar daar is vaak ook maar weinig tijd voor: bij een aanval moet ook zo snel mogelijk achterhaald worden wat er precies gebeurd is en welke acties er ondernomen moeten worden om de aanval te stoppen.

Fox-IT ontwikkelde daarom Dissect, waarmee incident responders sneller grotere hoeveelheden data kunnen verzamelen en voorbereiden voor analyse, wat betekent dat er sneller inzicht is in welke delen van een infrastructuur gecompromitteerd zijn. Aan de hand van die inzichten kunnen vervolgens beslissingen genomen worden over het isoleren van omgevingen. 

Hoeveel tijd met Dissect bespaard kan worden, hangt af van de IT-omgeving waarin data moet worden verzameld. Fox-IT heeft naar eigen zeggen echter de ervaring dat data-acquisitie die eerder twee weken duurde, nu in sommige gevallen nog maar een uur kost. 

Een ander voordeel van Dissect is dat het framework zijn werk kan doen terwijl dit voor de aanvaller onopgemerkt blijft, aldus Fox-IT. Zeker bij onderzoeken naar statelijke actoren - die zelf ook niet gedetecteerd willen worden - is dat belangrijk. Om dit mogelijk te maken, omzeilt Dissect bijvoorbeeld besturingssysteemfunctionaliteiten die mogelijk onder controle van de aanvaller zijn.

Open source voor verdere ontwikkeling

Fox-IT heeft de tool nu open source beschikbaar gemaakt op GitHub. "We nodigen iedereen in de community uit om bij te dragen aan de verdere ontwikkeling van Dissect, waarvan iedereen zal profiteren. En natuurlijk staan er interessante nieuwe mogelijkheden op de planning waar we te zijner tijd meer over vertellen", zegt Erik Schamper, senior security analyst bij Fox-IT, in een aankondiging. De tool is dan ook vooral beschikbaar gemaakt voor securityteams en incident responders van andere securitybedrijven.