Beheer

Security
cybersecurity

Fox-IT maakt eigen incident response-tool open source

Framework biedt snellere inzichten in welke delen infrastructuur gecompromitteerd zijn.

4 oktober 2022

Framework biedt snellere inzichten in welke delen infrastructuur gecompromitteerd zijn.

Fox-IT maakt één van zijn eigen incident response-tools open source beschikbaar voor andere securityspecialisten. Het gaat om het framework Dissect, dat gebruikt wordt bij het verzamelen en analyseren van zeer grote hoeveelheden data in de context van een onderzoek. 

Volgens Fox-IT betreft incident response steeds vaker omvangrijke, complexe en hybride IT-infrastructuren, die onderzocht moeten worden op indicatoren dat ze gecompromitteerd zijn. Maar daar is vaak ook maar weinig tijd voor: bij een aanval moet ook zo snel mogelijk achterhaald worden wat er precies gebeurd is en welke acties er ondernomen moeten worden om de aanval te stoppen.

Fox-IT ontwikkelde daarom Dissect, waarmee incident responders sneller grotere hoeveelheden data kunnen verzamelen en voorbereiden voor analyse, wat betekent dat er sneller inzicht is in welke delen van een infrastructuur gecompromitteerd zijn. Aan de hand van die inzichten kunnen vervolgens beslissingen genomen worden over het isoleren van omgevingen. 

Hoeveel tijd met Dissect bespaard kan worden, hangt af van de IT-omgeving waarin data moet worden verzameld. Fox-IT heeft naar eigen zeggen echter de ervaring dat data-acquisitie die eerder twee weken duurde, nu in sommige gevallen nog maar een uur kost. 

Een ander voordeel van Dissect is dat het framework zijn werk kan doen terwijl dit voor de aanvaller onopgemerkt blijft, aldus Fox-IT. Zeker bij onderzoeken naar statelijke actoren - die zelf ook niet gedetecteerd willen worden - is dat belangrijk. Om dit mogelijk te maken, omzeilt Dissect bijvoorbeeld besturingssysteemfunctionaliteiten die mogelijk onder controle van de aanvaller zijn.

Open source voor verdere ontwikkeling

Fox-IT heeft de tool nu open source beschikbaar gemaakt op GitHub. "We nodigen iedereen in de community uit om bij te dragen aan de verdere ontwikkeling van Dissect, waarvan iedereen zal profiteren. En natuurlijk staan er interessante nieuwe mogelijkheden op de planning waar we te zijner tijd meer over vertellen", zegt Erik Schamper, senior security analyst bij Fox-IT, in een aankondiging. De tool is dan ook vooral beschikbaar gemaakt voor securityteams en incident responders van andere securitybedrijven. 

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.