El análisis forense digital y la respuesta a incidentes (DFIR) han alcanzado un punto de inflexión. Ya no es sólo para las fuerzas del orden que resuelven ciberdelitos, las herramientas y prácticas DFIR son un componente necesario de la ciberseguridad de cualquier organización. Después de todo, los ataques aumentan cada día y se vuelven más sofisticados – exponiendo los datos personales de millones de personas, secuestrando sistemas en todo el mundo y cerrando numerosos sitios.
SANS tiene una mezcla de formación DFIR, y también ofrecemos una distribución gratuita de Linux para el trabajo DFIR. Nuestra estación de trabajo SIFT es una potente colección de herramientas para examinar artefactos forenses relacionados con el sistema de archivos, el registro, la memoria y las investigaciones de red. También está disponible como una máquina virtual (VM), e incluye todo lo que uno necesita para llevar a cabo cualquier investigación forense en profundidad o investigación de respuesta.
SIFT comenzó en 2007, durante el tiempo en que los instructores de SANS estaban desarrollando máquinas virtuales (VMs) para su uso en el aula. En sus primeras versiones, estaba disponible en línea como una descarga, pero estaba codificada y era estática, por lo que cada vez que había actualizaciones, los usuarios tenían que descargar una nueva versión. En 2014, SIFT Workstation podía descargarse como una serie de aplicaciones y posteriormente se actualizó a un paquete muy robusto basado en Ubuntu. También se puede instalar en Windows, si hay un subsistema de Ubuntu funcionando en el sistema.
En noviembre de 2017, SANS dio a conocer una nueva versión de SIFT Workstation que permite muchas más funcionalidades, es mucho más estable y se compone de herramientas específicas como el Package Manager. En esta ocasión, el paquete admite actualizaciones continuas y utiliza SALT, una plataforma de gestión de la configuración basada en Python, en lugar de un ejecutable de arranque y una herramienta de configuración.
La nueva versión puede trabajar con más de 200 herramientas y complementos de terceros, y la funcionalidad de análisis de memoria recién añadida permite a SIFT Workstation aprovechar los datos de otras fuentes. Las nuevas funciones de automatización y configuración hacen que el usuario sólo tenga que escribir un comando para descargar y configurar SIFT. Dado que SIFT se puede programar, los usuarios pueden encadenar comandos y crear análisis automatizados, adaptando el sistema a las necesidades de su investigación.
Descargue SIFT Workstation hoy mismo y comience con sus propias iniciativas DFIR. Y consulte nuestro FOR508: Advanced Incident Response and Threat Hunting para aprender de forma práctica con SIFT, y cómo detectar brechas, identificar los sistemas comprometidos y afectados, determinar los daños, contener los incidentes, y mucho más.