Fox-IT gooit eigen raamwerk voor data-acquisitie open

Fox-IT heeft de ervaring dat data-acquisitie die voorheen twee weken in beslag nam met Dissect in sommige gevallen nog slechts een uur kost. Immers, bij hacks moeten omvangrijke, complexe en hybride it-infrastructuren zorgvuldig worden onderzocht op ‘indicators of compromise’. Tegelijkertijd moeten slachtoffers van een aanval zo snel mogelijk achterhalen wat er precies is gebeurd en welke acties tegen de aanval ondernomen moeten worden. 

De steeds complexere it-omgevingen waren voor het Delftse Fox-IT reden een eigen framework te ontwikkelen. Erik Schamper, security-expert aldaar, nodigt de hele community uit om bij te dragen aan de verdere ontwikkeling van Dissect, waarvan iedereen zal profiteren. Inge Bryan, algemeen directeur Fox-IT, gelooft dat samenwerking cruciaal is om ‘het gezamenlijke doel van een veiligere samenleving te bereiken.’

Dissect opereert zo veel mogelijk ‘onder de radar’. Het framework kan daarbij zijn werk doen zonder dat de aanvaller dit merkt. Dit is handig bij diepgravende onderzoeken, bijvoorbeeld naar statelijke actoren die zelf graag ongezien blijven. Dissect maakt dit mogelijk door het omzeilen van besturingssysteem-functionaliteit die eventueel onder controle van de aanvaller is. Ook is data direct vanuit de hypervisor (de virtualisatielaag) te verzamelen terwijl de aanvaller niets door heeft. Fox-IT gebruikt deze functionaliteit geregeld in onderzoeken naar geavanceerde statelijke actoren zoals Rusland en China. Fox-IT is onderdeel van de Britse NCC Group.