Beispielsweise untersucht das “Extension Mismatch Module” die interne Struktur von Dateien und gleicht diese mit ihrer Benennung ab. Entstehen hierbei Diskrepanzen, ist das ein erster Hinweis darauf, dass Angreifer den Traffic nutzen, um etwas zu verbergen. Darüber hinaus bietet Autopsy unter anderem auch Erweiterungsmodule für Schulungen und Support.
5. MISP für Threat Intelligence
Geht es um breit angelegte, kollektive Bemühungen, können Open-Source-Tools und -Plattformen glänzen. Die Malware Information Sharing Platform – kurz MISP – ist dafür das beste Beispiel. Die Plattform kommt ins Spiel, wenn es darum geht, die Daten von IT-Forensik-Tools zu analysieren: Sie sammelt Informationen über potenzielle Angriffsvektoren in einer umfassenden Datenbank und bietet die Möglichkeit, diese Informationen über eine Suchmaschine mit eigenen Daten zu korrelieren. Dabei unterstützt die Lösung ein flexibles, objektbasiertes Datenmodell, das verschiedene Kompromittierungsindikatoren (Indicators of Compromise, IoC) visualisiert und sowohl über technische als auch nicht-technische Details Auskunft gibt. Ein Indexierungsalgorithmus der Support für “Fuzzy Matching” bietet, deckt mögliche Übereinstimmungen automatisch auf.
MISP wurde gezielt für Sicherheitsteams entwickelt, um über geteilte Timelines und Event-Graphen zusammenzuarbeiten. Dieses quelloffene Projekt wird von der Europäischen Union unterstützt und erfreut sich diverser, umfassender Communities. Die webbasierten, größtenteils in PHP geschriebenen Tools von MISP stehen auch in Quellcode-Form zum Download zur Verfügung.