Rapid7 und die VelociRaptor Community - kontinuierliche Weiterentwicklung der forensischen Analyse auf Endpoints

Rapid7 hat sich als globaler Spezialist für das Managen von Risiken und Erkennen von Bedrohungen etabliert. Neben dem Betrieb von drei globalen SoCs, in denen Hunderte von Spezialisten wöchentlich Millionen von Incidents analysieren, überwacht Rapid7 rund um die Uhr auch die Netzwerke von über 1.450 globalen Kunden auf potenzielle und reale Angriffe. Diese ganzen Erkenntnisse fließen in eine kontinuierliche Verbesserung der Erkennungs-Regelwerke und Risikobeurteilungen in die Lösungen und Managed Services von Rapid7 ein. 

Neben diesen generellen Aktivitäten ist Rapid7 aber auch in der globalen Security Community äußerst aktiv. Hierzu gehört zum Einen die weltweit führende OpenSource Pentest Lösung Metasploit, deren Verwaltung und Sponsoring Rapid7 seit fast 20 Jahren übernommen hat. Vor zwei Jahren hat Rapid7 zudem die führende Open-Source-DFIR- und Sicherheitslösung VelociRaptor mit der zugehörigen Community übernommen. 

Das leistungsstarke OpenSource DFIR Tool VelociRaptor ist aktuell vor allem forensischen Spezialisten ein Begriff und für viele Einsatzsituationen die bevorzugte Wahl. Um die Entwicklung dieser Lösung weiter im Sinne der Community voranzutreiben, hat Rapid7 eine Umfrage unter den Mitgliedern durchgeführt, damit die zukünftige Roadmap und Funktionalitäten das Interesse der Community widerspiegeln. 

Hier einige Ergebnisse der Umfrage:

Client-Überwachung und -Warnungen (Erkennung)

Velociraptor kann Client-Ereignisabfragen sammeln, die sich auf die Erkennung konzentrieren. Dadurch kann der Client den Endpunkt autonom überwachen und priorisierte Warnungen zurücksenden, wenn bestimmte Bedingungen erfüllt sind.

→ 12 % der Benutzer nutzen diese Funktion aktiv zur Überwachung von Endpunkten.

Proaktive Suche nach Indikatoren (Bedrohungsinformationen)

Die einzigartige Fähigkeit von Velociraptor, Artefakte in großem Maßstab aus vielen Systemen zu sammeln, kann mit Bedrohungsinformationen (wie Hashes usw.) kombiniert werden, um proaktiv nach Kompromittierungen durch bekannte Akteure zu suchen. Diese Frage bezog sich speziell auf die Suche nach Bedrohungs-Feed-Indikatoren wie Hashes, IP-Adressen usw.

→ 16 % der Benutzer nutzen diese Funktion.

Laufende Weiterleitung von Ereignissen an ein anderes System

Die Client-Überwachungsabfragen von Velociraptor können zur einfachen Weiterleitung von Ereignissen (z. B. ETW-Feeds) verwendet werden.

→ 6 % der Benutzer nutzen diese Funktion.

Sammeln von Massendateien zur Analyse auf einem anderen System (digitale Forensik)

Velociraptor kann zum Sammeln von Massendateien vom Endpunkt zur späteren Analyse durch andere Tools (z. B. mithilfe des Windows.Collection.KapeFilesArtefakts) verwendet werden.

→ 20 % der Nutzer nutzen diese Funktion regelmäßig.

Analyse von Indikatoren auf dem Endpunkt (digitale Forensik)

Die Artefakte von Velociraptor werden verwendet, um Dateien direkt auf dem Endpunkt zu analysieren und schnell umsetzbare, hochwertige Informationen zurückzugeben, ohne dass eine langwierige Nachbearbeitung erforderlich ist.

→ 21 % der Nutzer nutzen diese Art von Abfragen.

Proaktive Suche nach Indikatoren in vielen Systemen (Vorfallsreaktion)

Velociraptor kann von vielen Endpunkten gleichzeitig nach Artefakten suchen.

→ 21 % der Nutzer profitieren von dieser Möglichkeit.

Rapid7 fragte außerdem nach der relativen Bedeutung dieser Merkmale. Am meisten schätzten die Benutzer die Möglichkeit, große Mengen an Dateien zu sammeln und systemübergreifend nach Artefakten zu suchen, gefolgt von der Möglichkeit, Artefakte direkt auf den Endpunkten zu analysieren.

Die gesamten Ergebnisse der Umfrage können Sie im englischen Blog von Rapid7 einsehen. Die VelociRaptor OpenSource Community finden Sie unter https://docs.velociraptor.app/

Das Managen von Risiken wird immer komplexer - Rapid7 bietet Kunden mit dem Cloud Risk Complete (CRC) Bundle die richtige Antwort

Die heutigen Netzwerke werden immer komplexer. Von klassischen lokalen physikalischen Installationen über virtuelle Umgebungen bis hin zu Public Cloud Nutzungen findet man nahezu jede Kombination. Deren Absicherung und Kontrolle von Risiken sowie die Einhaltung der Compliance ist für die meisten Unternehmen eine gewaltige Herausforderung.

Rapid7 bietet mit den Cloud Risk Complete Bundles die richtige Antwort auf diese Herausforderungen. 

Das Cloud Risk Complete Essential Bundle bietet den Kunden ein unlimitierte Version der bekannten Rapid7 Schwachstellenmanagementlösung InsightVM, die SOAR/Automatisierungslösung InsightConnect und eine leicht eingeschränkte Version der Cloud Security Lösung InsightCloudSec. Mit diesem Bundle können die Kunden ihre hybriden Netzwerke nach Schwachstellen durchsuchen, das Beheben dieser Schwachstellen durch die Kombination mit einer Patch Management und der SOAR Lösung InsightConnect weitestgehend automatisieren und mit Hilfe von InsightCloudSec auch ihre ersten Gehversuche in der PublicCloud hinsichtlich der Einhaltung eigener und genereller Compliance Regeln absichern.

Mit dem Cloud Risk Complete Advanced Bundle stehen den Kunden noch mehr Funktionalitäten zur Verfügung. Neben der unlimitierten Schwachstellenmanagementlösung InsightVM steht im Bundle auch eine unlimitierte Version der dynamischen Webapplication Security Testlösung InsightAppSec, die SOAR/Automatisierungslösung InsightConnect und eine funktionell uneingeschränkte Lösung InsightCloudSec zur Verfügung. Dieses Bundle ermöglicht den Kunden ein unlimitierstes Schwachstellenmanagement für Ihre hybriden Netzwerke und Webapplikationen umzusetzen, die Automatisierung sich monoton wiederholender Aufgaben mit InsightConnect vorzunehmen und eine umfangreiche Absicherung von Public Cloud (AWS, Azure, GoogleCloud, AliCloud, OracleCloud) und Kubernets Umgebungen zu realisieren. 

Detaillierte Informationen zu diesen Bundles finden Sie hier: https://docs.rapid7.com/cloud-risk-complete/