La digital forensics and incident response (DFIR) ha raggiunto un punto di svolta. Non più solo per le forze dell’ordine che risolvono i crimini informatici, gli strumenti e le pratiche DFIR sono una componente necessaria della sicurezza informatica di qualsiasi organizzazione. Dopo tutto, gli attacchi aumentano ogni giorno e diventano sempre più sofisticati – esponendo milioni di dati personali di persone, dirottando sistemi in tutto il mondo e chiudendo numerosi siti.
SANS ha un buffet di formazione DFIR, e offriamo anche una distribuzione Linux gratuita per il lavoro DFIR. La nostra SIFT Workstation è una potente collezione di strumenti per l’esame di artefatti forensi relativi al file system, registro, memoria e indagini di rete. È anche disponibile in bundle come macchina virtuale (VM), e include tutto il necessario per condurre qualsiasi indagine forense approfondita o indagine di risposta.
SIFT ha avuto inizio nel 2007, nel periodo in cui gli istruttori SANS stavano sviluppando macchine virtuali (VM) da usare in classe. Nelle sue prime versioni, era disponibile online come download, ma era hard-coded e statico, quindi ogni volta che c’erano aggiornamenti, gli utenti dovevano scaricare una nuova versione. Nel 2014, SIFT Workstation poteva essere scaricato come una serie di applicazioni ed è stato successivamente aggiornato in un pacchetto molto robusto basato su Ubuntu. Può anche essere installato su Windows, se c’è un sottosistema Ubuntu in esecuzione sul sistema.
Nel novembre 2017, SANS ha presentato una nuova versione di SIFT Workstation che consente molte più funzionalità, è molto più stabile, ed è composta da strumenti specifici come il Package Manager. Questa volta il pacchetto supporta gli aggiornamenti rolling, e utilizza SALT, una piattaforma di gestione della configurazione basata su Python, piuttosto che un eseguibile di avvio e uno strumento di configurazione.
La nuova versione può lavorare con più di 200 strumenti e plug-in di terze parti, e la funzionalità di analisi della memoria aggiunta di recente consente a SIFT Workstation di sfruttare i dati da altre fonti. Le nuove funzioni di automazione e configurazione significano che l’utente deve solo digitare un comando per scaricare e configurare SIFT. Poiché SIFT è scrivibile, gli utenti possono mettere insieme i comandi e creare analisi automatizzate, personalizzando il sistema in base alle esigenze delle loro indagini.
Scaricate SIFT Workstation oggi, e iniziate le vostre iniziative DFIR. E guardate il nostro FOR508: Corso avanzato di risposta agli incidenti e caccia alle minacce per l’apprendimento pratico con SIFT, e come rilevare le violazioni, identificare i sistemi compromessi e interessati, determinare i danni, contenere gli incidenti e altro ancora.