A forense digital e a resposta a incidentes (DFIR) atingiu um ponto de viragem. Não mais apenas para a aplicação da lei resolvendo crimes cibernéticos, as ferramentas e práticas do DFIR são um componente necessário para a segurança cibernética de qualquer organização. Afinal, os ataques estão aumentando diariamente e ficando mais sofisticados – expondo os dados pessoais de milhões de pessoas, seqüestrando sistemas ao redor do mundo e fechando inúmeros sites.
SANS tem uma coleção de treinamentos DFIR, e também oferecemos uma distribuição Linux gratuita para o trabalho DFIR. Nossa estação de trabalho SIFT é uma poderosa coleção de ferramentas para examinar artefatos forenses relacionados com sistema de arquivos, registro, memória e investigações de rede. Também está disponível como uma máquina virtual (VM), e inclui tudo o que é necessário para conduzir qualquer investigação forense profunda ou investigação de resposta.
p>SIFT começou em 2007, durante o tempo em que os instrutores SANS estavam desenvolvendo máquinas virtuais (VMs) para uso em sala de aula. Em suas primeiras iterações, ela estava disponível online como download, mas era codificada e estática, então sempre que havia atualizações, os usuários tinham que baixar uma nova versão. Até 2014, o SIFT Workstation podia ser baixado como uma série de aplicativos e posteriormente foi atualizado para um pacote muito robusto baseado no Ubuntu. Ele também pode ser instalado no Windows, se houver um subsistema Ubuntu rodando no sistema.
Em novembro de 2017, o SANS revelou uma nova versão do SIFT Workstation que permite muito mais funcionalidades, é muito mais estável e é composto de ferramentas específicas, como o Package Manager. Desta vez o pacote suporta atualizações contínuas, e usa SALT, uma plataforma de gerenciamento de configuração baseada em Python, ao invés de um executável bootstrap e uma ferramenta de configuração.
A nova versão pode funcionar com mais de 200 ferramentas e plug-ins de terceiros, e a funcionalidade de análise de memória recentemente adicionada permite que a Estação de Trabalho SIFT aproveite dados de outras fontes. Novas funções de automação e configuração significam que o usuário só tem que digitar um comando para baixar e configurar o SIFT. Como o SIFT é scriptable, os usuários podem juntar comandos e criar análises automatizadas, customizando o sistema para as necessidades de sua investigação.
Download SIFT Workstation hoje, e começar a usar suas próprias initativas DFIR. E veja o nosso FOR508: Curso avançado de Resposta a Incidentes e Caça a Ameaças para aprendizagem prática com o SIFT, e como detectar violações, identificar sistemas comprometidos e afetados, determinar danos, conter incidentes e muito mais.