Un attacco informatico può interrompere le operazioni per ore, giorni o settimane e causare danni collaterali e perdite di informazioni che possono durare anche più a lungo. Troppo spesso, le organizzazioni non si rendono conto di essere state violate fino a quando l’ambiente IT non viene infettato o i dati vengono compromessi o persi.
Velociraptor è stato introdotto solo pochi anni fa, sviluppato da Mike Cohen, uno specialista di sicurezza delle informazioni in digital, network e memory forensics, insieme ai suoi colleghi collaboratori della community. In Google, Mike ha lavorato su strumenti a supporto del team di risposta agli incidenti, tra cui advanced incident response e remote forensics tool Google Rapid Response (GRR), memory analysis e forensic framework Rekall. Ora, Mike si unisce al team di Detection and Response di Rapid7, dove riceverà il supporto per costruire ed espandere ulteriormente la community di Velociraptor.
Rapid7 crede fermamente nel software e nelle community open source poiché consente un time-to-market più rapido, amplia l’accesso all’innovazione e aumenta la produttività. Rapid7 ha una storia di investimenti, contributi e sviluppo sull’open source. Iniziatndo ad investire nella community open source 12 anni fa, quando Rapid7 ha acquisito Metasploit. Da allora, Metasploit ha continuato a prosperare ed è uno dei progetti e delle community di sicurezza offensiva open source più costantemente attivi al mondo. Hanno anche creato AttackerKB, una piattaforma guidata dalla community in cui i professionisti della sicurezza possono scambiare informazioni sulle vulnerabilità per comprendere meglio l’impatto e la probabilità di essere sfruttati, e Recog, che aiuta i professionisti della sicurezza a gestire il rischio che i dispositivi connessi a Internet, possono introdurre dando loro visibilità su quale tecnologia è presente nei loro ecosistemi.
Mentre assume la gestione del progetto Velociraptor, Rapid7 vuole che la community sappia del loro impegno ad aiutarli a crescere e prosperare attraverso eventi, progetti, impegno, contributi e altro ancora. Hanno inoltre in programma di incorporare il progetto Velociraptor nella piattaforma Rapid7 Insight, consentendo ai clienti di beneficiare di questa straordinaria tecnologia e community.
L’offerta autonoma Velociraptor consente ai team di incident response, di raccogliere ed esaminare rapidamente gli artefatti da una rete e fornire dettagli forensi a seguito di un incidente di sicurezza. In caso di incident, un investigatore controlla gli agenti Velociraptor per individuare attività dannose, eseguire raccolte mirate, eseguire analisi di file o estrarre campioni di dati di grandi dimensioni. Il Velociraptor Query Language (VQL) consente agli investigatori di sviluppare hunt personalizzate per soddisfare esigenze di indagine specifiche.
Gli utenti beneficiano di:
- Accesso a una soluzione open source gratuita. Il minor costo di proprietà è stato uno dei motivi principali per cui le organizzazioni hanno preso in considerazione il software open source.
- Analisi forense all’endpoint. VQL consente di eseguire analisi automatizzate e chirurgiche sull’endpoint, individuando le minacce su larga scala in pochi minuti senza influire sulle prestazioni dell’endpoint.
- Condivisione della conoscenza. Le query condivise all’interno della community consentono agli utenti meno qualificati di sfruttare le query scritte da esperti DFIR.
- Raccolta chirurgica, velocità e scalabilità. Effettuare il triage efficiente e analizzare rapidamente le prove forensi per determinare rapidamente la root cause.
- Mean Time To Detect (MTTD) e Mean Time To Respond (MTTR) accelerati. La caccia proattiva su larga scala in pochi minuti consente agli utenti di eseguire rapidamente interventi tattici e rimedi, limitando potenziali danni.
- Supporto per Linux, Windows e macOS.
- Potente linguaggio di query VQL. Gli investigatori definiscono artefatti per raccogliere e ricercare gli endpoint senza la necessità di modificare il codice sorgente o distribuire software aggiuntivo, adattando rapidamente le query in risposta alle minacce mutevoli e alle nuove informazioni ottenute attraverso l’indagine.
Non ci sono piani per Rapid7 per rendere Velociraptor un’offerta commerciale; tuttavia, prevedono di sfruttare la tecnologia nel loro portafoglio di detection and response. Come primo passo per l’integrazione di Velociraptor nella piattaforma Rapid7 Insight, hanno già incorporato le capacità di raccolta dei dati degli endpoint di Velociraptor nell’Insight Agent, risparmiando tempo critico mentre il team MDR passa dal monitoraggio del proprio ambiente alla risposta a un incidente. Gli analisti MDR di Rapid7 possono cercare attivamente attività sospette utilizzando una libreria di query Velociraptor VQL che possono essere personalizzate in base a specifiche esigenze di caccia alle minacce. Se si verifica un evento grave su un endpoint, gli analisti MDR possono attivare una risposta automatica per raccogliere prove, interrompere silenziosamente l’attività dannosa o bloccare completamente endpoint e account.
Non vedono l’ora di fidanzarci con la community Velociraptor. La partecipazione di Rapid7 permetterà di scoprire le esigenze e sperimentare soluzioni su larga scala; raccogliere input per aggiornare e migliorare il codice; crowdsourcing di nuovi requisiti, casi d’uso e idee di funzionalità per offerte commerciali e non.
Rapid7 ritiene inoltre di poter promuovere la community e aumentare la partecipazione all’ecosistema Velociraptor. Inizia da ora e scarica Velociraptor da GitHub e facci sapere cosa ne pensi!
Puoi anche controllare il blog di Mike sul sito della community di Velociraptor.