A digitális kriminalisztika és incidenskezelés (DFIR) fordulóponthoz érkezett. Már nem csak a kiberbűncselekményeket megoldó bűnüldöző szervek számára, a DFIR-eszközök és -gyakorlatok bármely szervezet kiberbiztonságának szükséges elemei. Hiszen a támadások napról napra szaporodnak és egyre kifinomultabbak – emberek millióinak személyes adatait teszik közzé, világszerte eltérítik a rendszereket és számos webhelyet állítanak le.
A SANS a DFIR-képzés bőséges kínálatával rendelkezik, és egy ingyenes Linux-disztribúciót is kínálunk a DFIR-munkához. A SIFT munkaállomásunk egy hatékony eszközgyűjtemény a fájlrendszer, a registry, a memória és a hálózat vizsgálatához kapcsolódó törvényszéki leletek vizsgálatához. Virtuális gépként (VM) csomagban is elérhető, és mindent tartalmaz, amire szükség lehet bármilyen mélyreható törvényszéki vizsgálat vagy válaszvizsgálat elvégzéséhez.
A SIFT 2007-ben indult, amikor a SANS oktatói virtuális gépeket (VM) fejlesztettek a tantermi használatra. A legkorábbi verziókban online letölthető volt, de keményen kódolt és statikus volt, így minden frissítéskor a felhasználóknak le kellett tölteniük egy új verziót. 2014-re a SIFT Workstation alkalmazássorozatként volt letölthető, később pedig egy nagyon robusztus, Ubuntu alapú csomaggá frissült. Windowsra is telepíthető, ha a rendszeren Ubuntu alrendszer fut.
2017 novemberében a SANS bemutatta a SIFT Workstation új verzióját, amely sokkal több funkciót tesz lehetővé, sokkal stabilabb, és olyan speciális eszközökből áll, mint a csomagkezelő. Ezúttal a csomag támogatja a gördülő frissítéseket, és a SALT-ot, egy Python-alapú konfigurációkezelő platformot használ a bootstrap futtatható és konfigurációs eszköz helyett.
Az új verzió több mint 200, harmadik féltől származó eszközzel és bővítménnyel képes együttműködni, és az újonnan hozzáadott memóriaelemzési funkciók lehetővé teszik, hogy a SIFT Workstation más forrásokból származó adatokat is felhasználjon. Az új automatizálási és konfigurációs funkcióknak köszönhetően a felhasználónak csak egyetlen parancsot kell beírnia a SIFT letöltéséhez és konfigurálásához. Mivel a SIFT szkriptelhető, a felhasználók parancsokat fűzhetnek egymás után, és automatizált elemzéseket hozhatnak létre, a rendszert a vizsgálatuk igényeihez igazítva.
Töltse le még ma a SIFT Workstationt, és kezdje el saját DFIR-kezdeményezéseit. És tekintse meg a FOR508: Advanced Incident Response and Threat Hunting tanfolyamot, ahol gyakorlatiasan tanulhat a SIFT-tel, és megtudhatja, hogyan észlelheti a betöréseket, azonosíthatja a veszélyeztetett és érintett rendszereket, meghatározhatja a károkat, megfékezheti az incidenseket és még sok minden mást.