Die digitale Forensik und Incident Response (DFIR) hat einen Wendepunkt erreicht. DFIR-Tools und -Praktiken sind nicht mehr nur für die Strafverfolgungsbehörden zur Aufklärung von Cyberkriminalität gedacht, sondern sind ein notwendiger Bestandteil der Cybersicherheit eines jeden Unternehmens. Schließlich nehmen die Angriffe täglich zu und werden immer raffinierter – sie gefährden die persönlichen Daten von Millionen von Menschen, kapern Systeme auf der ganzen Welt und legen zahlreiche Websites lahm.
SANS bietet ein breites Spektrum an DFIR-Schulungen an, und wir bieten auch eine kostenlose Linux-Distribution für DFIR-Arbeiten an. Unsere SIFT Workstation ist eine leistungsstarke Sammlung von Werkzeugen für die Untersuchung von forensischen Artefakten im Zusammenhang mit Dateisystem-, Registry-, Speicher- und Netzwerkuntersuchungen. Sie ist auch als virtuelle Maschine (VM) erhältlich und enthält alles, was man für eine eingehende forensische Untersuchung oder Response-Untersuchung benötigt.
SIFT wurde 2007 ins Leben gerufen, zu einer Zeit, als SANS-Ausbilder virtuelle Maschinen (VMs) für den Einsatz im Unterricht entwickelten. In seinen ersten Versionen war es online als Download verfügbar, aber fest codiert und statisch, so dass die Benutzer bei jeder Aktualisierung eine neue Version herunterladen mussten. Im Jahr 2014 konnte SIFT Workstation als Anwendungsserie heruntergeladen werden und wurde später zu einem sehr robusten Paket auf der Grundlage von Ubuntu aktualisiert. Es kann auch auf Windows installiert werden, wenn auf dem System ein Ubuntu-Subsystem läuft.
Im November 2017 stellte SANS eine neue Version von SIFT Workstation vor, die viel mehr Funktionen bietet, viel stabiler ist und spezielle Tools wie den Paketmanager enthält. Dieses Mal unterstützt das Paket rollende Updates und verwendet SALT, eine Python-basierte Konfigurationsmanagement-Plattform, anstelle eines Bootstrap-Programms und eines Konfigurationstools.
Die neue Version kann mit mehr als 200 Tools und Plug-ins von Drittanbietern zusammenarbeiten, und die neu hinzugefügte Speicheranalysefunktion ermöglicht es der SIFT Workstation, Daten aus anderen Quellen zu nutzen. Neue Automatisierungs- und Konfigurationsfunktionen bedeuten, dass der Benutzer nur noch einen Befehl eingeben muss, um SIFT herunterzuladen und zu konfigurieren. Da SIFT skriptfähig ist, können Benutzer Befehle aneinanderreihen und automatisierte Analysen erstellen, um das System an die Anforderungen ihrer Untersuchung anzupassen.
Laden Sie SIFT Workstation noch heute herunter, und beginnen Sie mit Ihren eigenen DFIR-Initiativen. Und schauen Sie sich unser FOR508: Advanced Incident Response and Threat Hunting“ (Fortgeschrittene Reaktion auf Vorfälle und Bedrohungsjagd), um SIFT in der Praxis zu erlernen und zu erfahren, wie man Sicherheitsverletzungen erkennt, kompromittierte und betroffene Systeme identifiziert, Schäden feststellt, Vorfälle eindämmt und vieles mehr.