Digital forensics and incident response (DFIR) a atins un punct de cotitură. Nu mai sunt doar pentru forțele de ordine care rezolvă infracțiuni cibernetice, instrumentele și practicile DFIR sunt o componentă necesară a securității cibernetice a oricărei organizații. La urma urmei, atacurile cresc zilnic și devin din ce în ce mai sofisticate – expunând datele personale a milioane de oameni, deturnând sisteme din întreaga lume și închizând numeroase site-uri.
SANS are o puzderie de cursuri de formare DFIR și, de asemenea, oferim o distribuție gratuită de Linux pentru munca DFIR. Stația noastră de lucru SIFT este o colecție puternică de instrumente pentru examinarea artefactelor criminalistice legate de investigațiile privind sistemul de fișiere, registrul, memoria și rețeaua. De asemenea, este disponibilă la pachet ca mașină virtuală (VM) și include tot ceea ce este necesar pentru a efectua orice investigație criminalistică aprofundată sau investigație de răspuns.
SIFT a luat naștere în 2007, în perioada în care instructorii SANS dezvoltau mașini virtuale (VM) pentru a fi utilizate în clasă. În primele sale versiuni, era disponibil online ca download, dar era codat în hard-cod și static, astfel încât, ori de câte ori existau actualizări, utilizatorii trebuiau să descarce o nouă versiune. Până în 2014, SIFT Workstation putea fi descărcat ca o serie de aplicații și a fost ulterior actualizat la un pachet foarte robust bazat pe Ubuntu. Acesta poate fi instalat și pe Windows, dacă există un subsistem Ubuntu care rulează pe sistem.
În noiembrie 2017, SANS a dezvăluit o nouă versiune a SIFT Workstation care permite mult mai multe funcționalități, este mult mai stabilă și este compusă din instrumente specifice, cum ar fi Managerul de pachete. De data aceasta, pachetul suportă actualizări continue și utilizează SALT, o platformă de gestionare a configurației bazată pe Python, mai degrabă decât un executabil de bootstrap și un instrument de configurare.
Noua versiune poate funcționa cu peste 200 de instrumente și plug-in-uri de la terți, iar funcționalitatea de analiză a memoriei adăugată recent permite SIFT Workstation să valorifice date din alte surse. Noile funcții de automatizare și configurare înseamnă că utilizatorul trebuie să tasteze doar o singură comandă pentru a descărca și configura SIFT. Deoarece SIFT poate fi scriptat, utilizatorii pot înșira comenzi și crea analize automate, personalizând sistemul în funcție de nevoile investigației lor.
Descărcați SIFT Workstation astăzi și începeți să vă desfășurați propriile inițiative DFIR. Și uitați-vă și la FOR508: Advanced Incident Response and Threat Hunting (Răspuns avansat la incidente și vânătoare de amenințări) pentru o învățare practică cu SIFT și pentru a afla cum să detectați breșele, să identificați sistemele compromise și afectate, să determinați pagubele, să limitați incidentele și multe altele.