- PVSM.RU - https://www.pvsm.ru -
Утечки данных происходят почти каждый день. Согласно индексу утечки данных [1], с 2013 года более 4,762,376,960 [1] записей было утеряно или украдено.
Наиболее крупные утечки данных произошли в:
Juniper Research [2] предполагает, что к 2019 году ущерб от киберпреступлений составит более 2 триллионов долларов. Поэтому спрос на криминалистический анализ будет продолжать расти.
Программные средства — лучшие друзья системного администратора, а использование подходящего инструмента поможет быстрее и продуктивнее работать.
Расследование инцидентов — задача не из простых, ведь нужно собрать как можно больше информации, чтобы заручиться доказательствами и разработать план ликвидации последствий. Ниже я опишу несколько полезных инструментов для расследования инцидентов. Большинство из них бесплатные!
1. Autopsy
Autopsy [26] — программа с открытым исходным кодом и графическим интерфейсом для эффективного криминалистического исследования жестких дисков и смартфонов. Тысячи людей пользуются Autopsy, чтобы разобраться в том, что же действительно случилось с компьютером.
Специалисты крупных компаний и военные широко применяют Autopsy в работе. Ниже некоторые из функций Autopsy:
С помощью инструмента можно генерировать отчеты в форматах HTML и XLS.
2. Encrypted Disk Detector
Encrypted Disk Detector [27] может помочь провести анализ зашифрованных жестких дисков. Программа работает с разделами, зашифрованными при помощи TrueCrypt, PGP, Bitlocker, Safeboot.
3. Wireshark
Wireshark [28] — это инструмент захвата и анализа сетевых пакетов, который поможет наблюдать за происходящим в вашей сети. Wireshark пригодится при расследовании сетевого инцидента.
4. Magnet RAM Capture
Magnet RAM capture [29] позволяет получить снимок оперативной памяти и проанализировать артефакты в памяти. Программа работает с ОС Windows.
5. Network Miner
Этот интересный инструмент сетевого криминалистического анализа для Windows, Linux и MAC OS X позволяет определить операционную систему, имя хоста, обнаружить сессии и открытые порты с помощью анализатора трафика или PCAP-файла. Network Miner [30] отображает извлеченные артефакты в интуитивно понятном интерфейсе.
6. NMAP
NMAP [31] (Network Mapper) — это один из самых популярных инструментов для аудита сетевой и информационной безопасности. NMAP совместим с большинством операционных систем, в том числе Windows, Linux, Solaris, MAC OS, HP-UX и т.д. Программа с открытым исходным кодом, так что она бесплатна.
7. RAM Capturer
RAM Capturer by Belkasoft [32] — это бесплатный инструмент для создания дампа данных энергозависимой памяти компьютера. Программа совместима с Windows. Дамп памяти может содержать находящиеся на зашифрованных томах пароли и данные для входа в электронную почту или социальные сети.
8. Forensic Investigator
Если вы используете Splunk, то Forensic Investigator [33] вам пригодится. Это приложение для Splunk выполняет множество функций.
9. FAW
FAW [34] (Forensics Acquisition of Websites) используется для сбора данных о веб-странице в целях дальнейшего исследования. В инструменте реализовано следующее:
10. HashMyFiles
HashMyFiles [35] поможет вам вычислить хеши MD5 и SHA1. Инструмент работает почти на всех последних версиях Windows.
11. USB Write Blocker
Просмотрите содержимое USB-накопителя, не оставляя отпечатков, метаданных и меток времени. USB Write Blocker [36] использует реестр Windows для защиты от записи на USB-устройства.
12. Crowd Response
Response [37] от Crowd Strike — это приложение для Windows, предназначенное для сбора системной информации в целях реагирования на инцидент и повышения уровня безопасности. Результаты можно представить в форматах XML, CSV, TSV или HTML с помощью CRConvert. Программа работает на всех 32- и 64-разрядных версиях Windows начиная с XP.
У Crowd Strike есть и другие неплохие инструменты для проведения расследования:
13. NFI Defraser
Defraser [39] — это инструмент для исследований, который может вам помочь в обнаружении файлов мультимедиа или их фрагментов в информационном потоке.
14. ExifTool
С помощью ExifTool [40] можно считывать, записывать и редактировать метаданные разных видов файлов, в том числе EXIF, GPS, IPTC, XMP, JFIF, GeoTIFF, Photoshop IRB, FlashPix, и т.д.
15. Toolsley
Toolsley [41] предлагает более десятка полезных инструментов расследования:
16. SIFT
SIFT [42] (SANS investigative forensic toolkit) — рабочая станция, свободно доступная для Ubuntu 14.04. SIFT — это набор полезных инструментов анализа и одна из наиболее популярных платформ реагирования на инциденты с открытым исходным кодом.
17. Dumpzilla
Извлекайте всю интересующую вас информацию из браузеров Firefox, Iceweasel и Seamonkey при помощи Dumpzilla [43].
18. Browser History
У Foxton есть два интересных инструмента:
19. ForensicUserInfo
Воспользовавшись ForensicUserInfo [44] вы сможете извлечь следующую информацию:
20. Back Track
Backtrack [45] — это одна из самых популярных платформ для проверки уязвимости, но в ней реализованы и функции криминалистического анализа.
21. Paladin
PALADIN [46] Forensic Suite — самый популярный набор криминалистических инструментов для Linux в мире, представляющий собой модифицированный дистрибутив Linux, основанный на Ubuntu и доступный в 32- и 64-разрядной версиях.
В Paladin входит более 100 инструментов, которые сгруппированы в 29 категорий. Это почти все, что вам нужно, чтобы расследовать инцидент. Autospy входит в последнюю версию — Paladin 6.
22. Sleuth Kit
The Sleuth Kit [47] — это набор инструментов командной строки, предназначенных для изучения и анализа логических дисков и файловых систем, чтобы найти данных.
23. CAINE
CAINE (Computer Aided Investigate Environment) — это дистрибутив Linux, который предлагает полноценную экспертную платформу с более чем 80 инструментами для анализа, исследования и формирования отчетов о действиях.
Надеюсь, что вышеуказанные инструменты помогут вам справиться с инцидентом и ускорить расследование.
По традиции приглашаю всех интересующихся заглянуть в наше HOSTING.cafe [48] и выбрать себе виртуальный сервер [49] или виртуальный хостинг [50]. Отзывы о хостерах собраны на POISK.hosting [51].
Автор: HOSTING.cafe
Источник [52]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/210153
Ссылки в тексте:
[1] индексу утечки данных: http://breachlevelindex.com/
[2] Juniper Research: http://www.juniperresearch.com/press/press-releases/cybercrime-cost-businesses-over-2trillion/
[3] Autopsy: https://habrahabr.ru/company/hosting-cafe/blog/315278/#1
[4] Encrypted Disk Detector: https://habrahabr.ru/company/hosting-cafe/blog/315278/#2
[5] Wireshark: https://habrahabr.ru/company/hosting-cafe/blog/315278/#3
[6] Magnet RAM Capture: https://habrahabr.ru/company/hosting-cafe/blog/315278/#4
[7] Network Miner: https://habrahabr.ru/company/hosting-cafe/blog/315278/#5
[8] NMAP: https://habrahabr.ru/company/hosting-cafe/blog/315278/#6
[9] RAM Capturer: https://habrahabr.ru/company/hosting-cafe/blog/315278/#7
[10] Forensic Investigator: https://habrahabr.ru/company/hosting-cafe/blog/315278/#8
[11] FAW: https://habrahabr.ru/company/hosting-cafe/blog/315278/#9
[12] HashMyFiles: https://habrahabr.ru/company/hosting-cafe/blog/315278/#10
[13] USB Write Blocker: https://habrahabr.ru/company/hosting-cafe/blog/315278/#11
[14] Crowd Response: https://habrahabr.ru/company/hosting-cafe/blog/315278/#12
[15] NFI Defraser: https://habrahabr.ru/company/hosting-cafe/blog/315278/#13
[16] ExifTool: https://habrahabr.ru/company/hosting-cafe/blog/315278/#14
[17] Toolsley: https://habrahabr.ru/company/hosting-cafe/blog/315278/#15
[18] SIFT: https://habrahabr.ru/company/hosting-cafe/blog/315278/#16
[19] Dumpzilla: https://habrahabr.ru/company/hosting-cafe/blog/315278/#17
[20] Browser History: https://habrahabr.ru/company/hosting-cafe/blog/315278/#18
[21] ForensicUserInfo: https://habrahabr.ru/company/hosting-cafe/blog/315278/#19
[22] Back Track: https://habrahabr.ru/company/hosting-cafe/blog/315278/#20
[23] Paladin: https://habrahabr.ru/company/hosting-cafe/blog/315278/#21
[24] Sleuth Kit: https://habrahabr.ru/company/hosting-cafe/blog/315278/#22
[25] CAINE: https://habrahabr.ru/company/hosting-cafe/blog/315278/#23
[26] Autopsy: http://www.sleuthkit.org/autopsy/
[27] Encrypted Disk Detector: https://www.magnetforensics.com/free-tool-encrypted-disk-detector/
[28] Wireshark: https://www.wireshark.org/
[29] Magnet RAM capture: https://www.magnetforensics.com/free-tool-magnet-ram-capture/
[30] Network Miner: http://www.netresec.com/?page=NetworkMiner
[31] NMAP: https://nmap.org/
[32] RAM Capturer by Belkasoft: http://belkasoft.com/ram-capturer
[33] Forensic Investigator: https://splunkbase.splunk.com/app/2895/
[34] FAW: http://www.fawproject.com/en/default.aspx
[35] HashMyFiles: http://www.nirsoft.net/utils/hash_my_files.html
[36] USB Write Blocker: http://dsicovery.com/software/usb-writeblocker/
[37] Response: https://www.crowdstrike.com/resources/community-tools/
[38] heartbleed уязвимости: https://geekflare.com/how-to-test-heart-bleed-ssl-vulnerabilities-cve-2014-0160/
[39] Defraser: https://sourceforge.net/projects/defraser/
[40] ExifTool: http://www.sno.phy.queensu.ca/~phil/exiftool/
[41] Toolsley: https://www.toolsley.com/
[42] SIFT: https://digital-forensics.sans.org/community/downloads/#overview
[43] Dumpzilla: http://www.dumpzilla.org/
[44] ForensicUserInfo: http://www.woanware.co.uk/forensics/forensicuserinfo.html
[45] Backtrack: http://www.backtrack-linux.org/tutorials/backtrack-forensics/
[46] PALADIN: https://sumuri.com/software/paladin/
[47] The Sleuth Kit: http://www.sleuthkit.org/sleuthkit/
[48] HOSTING.cafe: https://hosting.cafe/
[49] виртуальный сервер: https://vds.menu/
[50] виртуальный хостинг: https://shared.menu/
[51] POISK.hosting: https://poisk.hosting/
[52] Источник: https://habrahabr.ru/post/315278/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best
Нажмите здесь для печати.