La criminalistique numérique et la réponse aux incidents (DFIR) ont atteint un point de basculement. Ce n’est plus seulement pour les forces de l’ordre qui résolvent les cybercrimes, les outils et les pratiques de DFIR sont une composante nécessaire de la cybersécurité de toute organisation. Après tout, les attaques augmentent chaque jour et deviennent plus sophistiquées – exposant les données personnelles de millions de personnes, détournant des systèmes dans le monde entier et fermant de nombreux sites.
La SANS dispose d’un smorgasbord de formations DFIR, et nous offrons également une distribution Linux gratuite pour le travail DFIR. Notre station de travail SIFT est une puissante collection d’outils pour examiner les artefacts médico-légaux liés aux enquêtes sur le système de fichiers, le registre, la mémoire et le réseau. Il est également disponible groupé en tant que machine virtuelle (VM), et comprend tout ce dont on a besoin pour mener n’importe quelle enquête médico-légale approfondie ou enquête d’intervention.
SIFT a vu le jour en 2007, à l’époque où les instructeurs du SANS développaient des machines virtuelles (VM) pour les utiliser en classe. Dans ses premières versions, il était disponible en ligne en téléchargement, mais était codé en dur et statique, de sorte qu’à chaque mise à jour, les utilisateurs devaient télécharger une nouvelle version. En 2014, SIFT Workstation a pu être téléchargé en tant que série d’applications et a ensuite été mis à jour dans un package très robuste basé sur Ubuntu. Il peut également être installé sur Windows, si un sous-système Ubuntu fonctionne sur le système.
En novembre 2017, le SANS a dévoilé une nouvelle version de SIFT Workstation qui permet beaucoup plus de fonctionnalités, est beaucoup plus stable et comprend des outils spécifiques tels que le gestionnaire de paquets. Cette fois, le paquet prend en charge les mises à jour glissantes et utilise SALT, une plateforme de gestion de la configuration basée sur Python, plutôt qu’un exécutable de démarrage et un outil de configuration.
La nouvelle version peut fonctionner avec plus de 200 outils et plug-ins de tiers, et la fonctionnalité d’analyse de la mémoire nouvellement ajoutée permet à SIFT Workstation d’exploiter des données provenant d’autres sources. Grâce aux nouvelles fonctions d’automatisation et de configuration, l’utilisateur n’a qu’une seule commande à taper pour télécharger et configurer SIFT. Comme SIFT est scriptable, les utilisateurs peuvent enchaîner les commandes et créer des analyses automatisées, en personnalisant le système en fonction des besoins de leur enquête.
Téléchargez SIFT Workstation dès aujourd’hui, et lancez-vous dans vos propres initiatives de DFIR. Et jetez un œil à notre FOR508 : Cours avancé de réponse aux incidents et de chasse aux menaces pour un apprentissage pratique avec SIFT, et comment détecter les brèches, identifier les systèmes compromis et affectés, déterminer les dommages, contenir les incidents, et plus encore.
.