Skip to navigation Skip to main content Skip to footer

Our Fox-IT Dissect framework for forensic data collection, now open source

04 October 2022

Dissect: a game-changer for security specialists

Delft, 4 October 2022 - Dissect is a framework for collecting and analysing large amounts of forensic data. A game changer in cyber incident response, it enables data acquisition on thousands of systems within hours, regardless of the nature and size of the IT environment to be investigated after an attack.

Fox-IT (part of NCC Group) developed and has used Dissect over the past 10 years as a critical framework in incident response investigations for customers. From today it is available to the security community as open source software to help advance and accelerate forensic data collection and analysis.

Erik Schamper, Senior Security Analyst at Fox-IT said: "We developed Dissect because we dealt with increasingly complex IT environments and it has greatly enhanced our incident response capabilities. We are now sharing Dissect as open source software with the security community, particularly incident responders from fellow security companies and security teams from larger companies. We welcome anyone in the community to contribute to Dissect’s continued development, which will benefit everyone. And of course, we have exciting new features planned, that we will communicate about in the future. But make no mistake: while powerful tools are important, we know that effective incident response is ultimately only possible thanks to experienced and talented security teams."

Inge Bryan, Managing Director Fox-IT added: " We believe collaboration is crucial to making the world safer and more secure and by open sourcing Dissect we invite anyone to collaborate with us". 

More accurate and specific

Incident response increasingly involves large, complex and hybrid IT infrastructures that must be carefully examined for so-called Indicators of Compromise (IOCs). At the same time, victims of an attack need to find out as quickly as possible what exactly happened and what actions should be taken in response.

With Dissect, incident responders can collect and prepare large amounts of data for analysis much faster. This leads to quicker insights into which parts of an infrastructure have been compromised. In turn it supports better and more specific decision making about isolating environments, decisions that usually lead to substantial business impact.

The time savings obviously depend on the IT environment in which data must be collected, but Fox-IT’s experience in some cases is that data acquisition that previously took two weeks with Dissect now only takes an hour.

Investigator can stay under the radar

Dissect operates in an extra stealth fashion, meaning the framework can do its work while remaining undetected by an attacker. This is especially important for in-depth investigations of, for example, state actors who themselves like to stay under the radar. An example is that Dissect does this by bypassing operating system functionality potentially in control of an adversary. Another example is undetected data collection by collecting data directly from the hypervisor (the virtualisation layer), allowing system analysis without the attacker noticing. Fox-IT uses this this functionality regularly while investigating sophisticated state actors.

Link to landing page: Dissect - Fox IT (fox-it.com)
Link to GitHub repo: GitHub - fox-it/dissect: This project is a meta package, it will install all other Dissect modules with the right combination of versions.

Nederlands versie:

Dissect, Fox-IT’s incident response framework, nu open source.

Dissect: game-changer voor securityspecialisten

Delft, 4 Oktober 2022 – Dissect is een framework voor het verzamelen en analyseren van zeer grote hoeveelheden data in de context van een onderzoek. Het maakt data-acquisitie op duizenden systemen binnen enkele uren mogelijk, ongeacht de aard en omvang van de IT-omgeving die tijdens en na een aanval onderzocht moet worden. Fox-IT heeft Dissect zelf ontwikkeld en maakt dit framework vanaf vandaag voor iedereen beschikbaar als open source software.

Incident response betreft steeds vaker omvangrijke, complexe en hybride IT-infrastructuren die zorgvuldig moeten worden onderzocht op zogeheten Indicators of Compromise (IOC's). Tegelijkertijd moeten slachtoffers van een aanval zo snel mogelijk achterhalen wat er precies is gebeurd en welke acties tegen de aanval ondernomen moeten worden.

Erik Schamper, Senior Security Analyst Fox-IT): “We hebben dit framework ontwikkeld omdat we te maken kregen met steeds complexere IT-omgevingen en Dissect heeft onze incident response mogelijkheden enorm vergroot. We delen Dissect nu als open source software met de security community, met name incident responders van collega securitybedrijven en securityteams van grotere organisaties. We nodigen iedereen in de community uit om bij te dragen aan de verdere ontwikkeling van Dissect, waarvan iedereen zal profiteren. En natuurlijk staan er interessante nieuwe mogelijkheden op de planning waar we ter zijner tijd meer over vertellen. Graag wil ik wel nog toevoegen dat uitstekende tools uiteraard helpen, maar we weten dat effectieve incident response uiteindelijk alleen mogelijk is dankzij ervaren en getalenteerde security teams”

Inge Bryan, Managing Director Fox-IT: "We geloven dat samenwerking cruciaal is om ons doel, een veiligere digitale samenleving, te bereiken. Ons besluit Dissect open source te maken is dan ook een uitnodiging aan iedereen in de security community om samen met ons te werken aan het verwezenlijken van dat doel”.

Nauwkeuriger en specifieker

Met Dissect kunnen incident responders veel sneller grotere hoeveelheden data verzamelen en voorbereiden voor analyse. Dit leidt tot snellere inzichten in welke delen van een infrastructuur zijn gecompromitteerd. Dit betekent bijvoorbeeld dat er beter en sneller beslist kan worden over het isoleren van omgevingen, beslissingen die meestal een substantiële impact op de business hebben. De tijdwinst is uiteraard afhankelijk van de IT-omgeving waarin data moet worden verzameld, maar Fox-IT heeft de ervaring dat data-acquisitie die voorheen twee weken in beslag nam met Dissect in sommige gevallen nog slechts een uur kost.

De onderzoeker kan onder de radar blijven

Dissect opereert zo veel mogelijk ‘onder de radar’, dat wil zeggen dat het framework zijn werk kan doen terwijl dit voor de aanvaller onopgemerkt blijft. Dit is in het bijzonder van belang voor diepgravende onderzoeken, bijvoorbeeld naar statelijke actoren die zelf graag ongedetecteerd blijven. Dissect maakt dit bijvoorbeeld mogelijk door het omzeilen van besturingssysteemfunctionaliteit die mogelijk onder controle van de aanvaller is. Een ander voorbeeld is het ongemerkt verzamelen van data direct vanuit de hypervisor (de virtualisatielaag), waardoor analyse mogelijk is zonder dat de aanvaller het merkt. Fox-IT gebruikt deze functionaliteit geregeld in onderzoeken naar geavanceerde statelijke actoren.

Link naar landingspagina: Dissect - Fox IT (fox-it.com)
Link naar GitHub repo: GitHub - fox-it/dissect: This project is a meta package, it will install all other Dissect modules with the right combination of versions.

Contact

NCC Group Press Office

All media enquires relating to NCC Group plc.

press@nccgroup.com

+44 7721577574