Dissect でフォレンジック：データの収集／分析を促進する OSS フレームワークとは？

Dissect: Open-source framework for collecting, analyzing forensic data

2022/10/05 HelpNetSecurity — サイバー・インシデント対応におけるゲーム・チェンジャーである Dissect フレームワークは、攻撃が生じた後に調査すべき IT 環境の性質／規模に関わらず、数千のシステムに対して数時間でデータを取得することを可能にする。これまでの 10年にわたり Fox-IT は、顧客のインシデント・レスポンス調査における重要なフレームワークとして Dissect を開発／使用してきた。現在では、フォレンジック／データの収集／分析を促進するオープンソース・ソフトウェアとして、GitHub 上でセキュリティ・コミュニティに公開されている。

Fox-IT の Senior Security Analyst である Erik Schamper は、「私たちは、複雑化する IT 環境に対応するために Dissect を開発し、インシデント・レスポンス能力を大幅に向上させてきた。現在、Dissectをオープンソース・ソフトウェアとして、セキュリティ・コミュニティに提供し、セキュリティ企業のインシデント対応者や、大企業のセキュリティ・チームと情報を共有している」と述べている。

インシデント・レスポンダーに特化

インシデント・レスポンスにおいては、大規模で複雑なハイブリッド IT インフラストラクチャを扱うことが多くなり、いわゆる IOC (Indicators of Compromise) を慎重に調査することが不可欠になっている。それと同時に、攻撃の被害者は何が起こったのかを知り、どのような行動を取るべきなのかを、可能な限り早く知る必要がある。

Dissect を使用することで、インシデント対応担当者は大量のデータを迅速に収集し、解析のために準備することが可能となる。それにより、インフラストラクチャの中の、侵害された部分を迅速に把握できる。さらに、環境の分離に関する適切で具体的な意思決定を、つまり、ビジネスに大きな影響を与える意思決定をサポートできる。

時間短縮の効果は、データ収集が必要な IT 環境に応じて変化するが、Fox-IT の経験では、２週間を要していたデータ収集が、Dissect では１時間で済むようになったケースもあるという。

レーダーの目を潜り抜ける

Dissect フレームワークは、極めてステルス性の高い方法で動作する。つまり、このフレームワークは、攻撃者に発見されずに作業を進めることを可能にする。それは、レーダーを潜り抜けたい国営企業などにおける、徹底的な調査にとって特に重要なことだ。

たとえば、敵対者が制御している可能性のあるオペレーティングシステムの機能を、Dissect では迂回できる。また、ハイパーバイザー (仮想化層) から直接にデータを収集することで、攻撃者に気づかれることなくシステム分析を可能にする、検知回避データ収集もその一例である。Fox-IT では、この機能を定期的に使用し、高度な国家活動家を調査している。

フォレンジックのためのデータの収集／分析ツールといっても、さまざまな用途に応じて細分化されているようです。いったい、どれくらいの種類のツールがあるのかと思い、調べてみたら「主要なデジタル・フォレンジック調査・解析用ツール（ソフト）」という PDF が見つかりました。この資料には、有名どころの Splunk なども含めて、60種類ものツールがリストアップされています。ただし、この記事で紹介されている Dissect はありませんでした。ここでも、OSS が注目されると嬉しいですね。