Um divisor de águas na resposta a incidentes cibernéticos, a estrutura Dissect permite a aquisição de dados em milhares de sistemas em poucas horas, independentemente da natureza e do tamanho do ambiente de TI a ser investigado após um ataque.
Dissecar o desenvolvimento da estrutura
A Fox-IT desenvolveu e usou o Dissect nos últimos 10 anos como uma estrutura crítica em investigações de resposta a incidentes para clientes. Agora está disponível no GitHub para a comunidade de segurança como software de código aberto para ajudar a avançar e acelerar a coleta e análise de dados forenses.
“Desenvolvemos o Dissect porque lidamos com ambientes de TI cada vez mais complexos e melhorou muito nossas capacidades de resposta a incidentes. Agora estamos compartilhando o Dissect como software de código aberto com a comunidade de segurança, particularmente os respondentes de incidentes de outras empresas de segurança e equipes de segurança de empresas maiores”, disse Erik Schamper, analista de segurança sênior da Fox-IT.
Feito sob medida para socorristas de incidentes
A resposta a incidentes envolve cada vez mais infraestruturas de TI grandes, complexas e híbridas que devem ser cuidadosamente examinadas para os chamados Indicadores de Comprometimento (IOCs). Ao mesmo tempo, as vítimas de um ataque precisam descobrir o mais rápido possível o que exatamente aconteceu e quais ações devem ser tomadas em resposta.
Com o Dissect, os atendentes de incidentes podem coletar e preparar grandes quantidades de dados para análise com muito mais rapidez. Isso leva a insights mais rápidos sobre quais partes da infraestrutura foram comprometidas. Por sua vez, ele suporta tomadas de decisão melhores e mais específicas sobre ambientes de isolamento, decisões que geralmente levam a um impacto substancial nos negócios.
A economia de tempo obviamente depende do ambiente de TI no qual os dados devem ser coletados, mas a experiência da Fox-IT em alguns casos é que a aquisição de dados que antes levava duas semanas com o Dissect agora leva apenas uma hora.
Ficar fora do radar
A estrutura Dissect opera de uma forma extra furtiva, o que significa que a estrutura pode fazer seu trabalho sem ser detectada por um invasor. Isso é especialmente importante para investigações aprofundadas de, por exemplo, atores estatais que gostam de ficar fora do radar.
Um exemplo é que o Dissect faz isso ignorando a funcionalidade do sistema operacional potencialmente no controle de um adversário. Outro exemplo é a coleta de dados não detectados, coletando dados diretamente do hipervisor (a camada de virtualização), permitindo a análise do sistema sem que o invasor perceba. A Fox-IT usa essa funcionalidade regularmente enquanto investiga atores de estado sofisticados.
FONTE: HELPNET SECURITY