Digital forensics and incident response (DFIR) heeft een omslagpunt bereikt. DFIR-tools en -praktijken zijn niet langer alleen bedoeld voor rechtshandhavingsinstanties die cybermisdaden oplossen, maar vormen een noodzakelijk onderdeel van de cyberbeveiliging van elke organisatie. Aanvallen nemen immers dagelijks toe en worden steeds geraffineerder – ze stellen de persoonlijke gegevens van miljoenen mensen bloot, kapen systemen over de hele wereld en leggen talloze sites plat.
SANS heeft een smorgasbord van DFIR trainingen, en we bieden ook een gratis Linux distributie aan voor DFIR werk. Ons SIFT Workstation is een krachtige verzameling van tools voor het onderzoeken van forensische artefacten met betrekking tot bestandssysteem, register, geheugen, en netwerk onderzoek. Het is ook beschikbaar als virtuele machine (VM) en bevat alles wat nodig is om een diepgaand forensisch onderzoek of responsonderzoek uit te voeren.
SIFT is in 2007 van start gegaan, in de tijd dat instructeurs van SANS virtuele machines (VM’s) ontwikkelden voor gebruik in het klaslokaal. In de eerste versies was het online beschikbaar als download, maar het was hard gecodeerd en statisch, zodat gebruikers bij elke update een nieuwe versie moesten downloaden. In 2014 kon SIFT Workstation worden gedownload als een reeks applicaties en later werd het bijgewerkt tot een zeer robuust pakket op basis van Ubuntu. Het kan ook op Windows worden geïnstalleerd, als er een Ubuntu-subsysteem op het systeem draait.
In november 2017 onthulde SANS een nieuwe versie van SIFT Workstation die veel meer functionaliteit mogelijk maakt, veel stabieler is, en bestaat uit specifieke tools zoals de Package Manager. Dit keer ondersteunt het pakket rollende updates, en maakt het gebruik van SALT, een op Python gebaseerd configuratiebeheerplatform, in plaats van een bootstrap executable en configuratietool.
De nieuwe versie kan werken met meer dan 200 tools en plug-ins van derden, en nieuw toegevoegde functionaliteit voor geheugenanalyse stelt het SIFT Workstation in staat om gegevens uit andere bronnen te benutten. Dankzij nieuwe automatiserings- en configuratiefuncties hoeft de gebruiker slechts één opdracht te typen om SIFT te downloaden en te configureren. Omdat SIFT scriptable is, kunnen gebruikers commando’s aan elkaar rijgen en geautomatiseerde analyses maken, waarbij ze het systeem kunnen aanpassen aan de behoeften van hun onderzoek.
Download SIFT Workstation vandaag nog, en ga aan de slag met uw eigen DFIR-initiatieven. En kijk eens naar onze FOR508: Advanced Incident Response and Threat Hunting cursus voor hands-on leren met SIFT, en hoe inbreuken te detecteren, gecompromitteerde en getroffen systemen te identificeren, schade vast te stellen, incidenten te beperken, en nog veel meer.