Digitale Forensik und Incident Response (DFIR) sind eine komplizierte Angelegenheit mit vielen beweglichen Teilen. Die inhaltliche Würdigung und Beurteilung von Sachverhalten basierend auf fertig ausgewerteten Daten bildet lediglich den letzten Schritt, vor dem eine ganze Reihe von Vorbereitungsschritten steht. Verschiedene Datei- und Datentypen wollen mit spezialisierter Software aufbereitet und dargestellt werden.
Während moderne EDR-Lösungen über Host-Forensik-Features verfügen, die bei Vorfällen eine große Hilfe sind, um sich einen schnellen Überblick über Vorgänge auf einzelnen Endpunkten zu verschaffen, können sie eine eingehende Host-Analyse nicht vollständig ersetzen. Und wenn das Ziel nur jenes ist, die Findings der EDR-Software zusätzlich mit einem zweiten Tool zu verifizieren. Hier kommt der bereits genannte Zoo von Spezialsoftware ins Spiel, der von teuren, kommerziellen Lösungen zu kleinen Open-Source-Tools mit sehr engem Einsatzbereich reicht.
Alle diese Tools verfügen über verschiedene Aufrufparameter sowie Ausgabeformate, sodass deren Nutzung - vor allem wenn es sich um eine Vielzahl von zu untersuchenden Datenträgern handelt - mit großem manuellem Aufwand verbunden ist. Die Auswertung erfordert Kenntnisse der einzelnen Tools. Zusätzlich muss sich auf die verschiedenen Ausgabeformate eingestellt werden. Ein weiterer Nachteil ist der unweigerlich auftretende Faktor Mensch, durch den einheitliche, gleichförmige und wiederholbare Ausführung bestimmter Prozessschritte nicht immer garantiert werden kann.
Bei CERTAINITY hegen wir diese Heterogenität dadurch ein, dass wir die Tool-Pipeline von den Rohdaten bis zur für den Analysten brauchbaren Darstellung mithilfe von Open-Source-Tools automatisieren. Zu diesem Zweck automatisieren wir die folgenden Schritte:
- Extraktion relevanter Daten aus forensischen Datenträgerabbildern oder sog. Triage-Daten (hierbei handelt es sich um eine Teilsicherung eines Systems, die sich auf forensisch besonders relevante Daten beschränkt)
- Aufbereitung dieser extrahierten Daten mit den dafür geeigneten Tools.
- Vereinheitlichung der Ausgabeformate, um sie in einer gemeinsamen Timeline darstellen zu können.
- Laden der Timeline-Daten in ein geeignetes Tool zur Darstellung und direkten Nutzung durch Analysten
Alle genannten Features sollen sowohl in lokalen Umgebungen als auch in der "Cloud" genutzt werden können. Neben der Ausführung der obigen Prozessschritte wird auch das Deployment der dafür notwendigen Ressourcen in einer mandantenfähigen Umgebung automatisiert. So kann für neue Kunden und Projekte schnell die notwendige Infrastruktur bereitgestellt werden, bei gleichzeitiger Sicherheit, dass Daten verschiedener Kunden strikt voneinander getrennt bleiben.
Auf diese Weise verkürzen wir bei CERTAINITY die Anlaufzeit für forensische Untersuchungen deutlich, reduzieren den manuellen Aufwand für die vielen kleinteiligen Vorbereitungsschritte und senken damit schließlich die Kosten sowie steigern die Qualität.
Certainity betreibt ein CERT, das von Cyberangriffen betroffene Unternehmen in dieser herausfordernden Zeit unterstützt:
CERTAINITY Incident Response Hotline:
+43 664 888 44 686
CERTAINITY CERT Postfach:
cert@certainity.com