- PVSM.RU - https://www.pvsm.ru -

23 бесплатных инструмента расследования инцидентов для специалиста по информационной безопасности

23 бесплатных инструмента расследования инцидентов для специалиста по информационной безопасности - 1

Утечки данных происходят почти каждый день. Согласно индексу утечки данных [1], с 2013 года более 4,762,376,960 [1] записей было утеряно или украдено.

23 бесплатных инструмента расследования инцидентов для специалиста по информационной безопасности - 2

Наиболее крупные утечки данных произошли в:

  • JP Morgan Chase
  • Bank of America
  • HSBC
  • TD Bank
  • Target
  • Tumbler
  • Home Depot
  • MySpace
  • eBay
  • Adobe System Inc
  • iMesh

Juniper Research [2] предполагает, что к 2019 году ущерб от киберпреступлений составит более 2 триллионов долларов. Поэтому спрос на криминалистический анализ будет продолжать расти.

Программные средства — лучшие друзья системного администратора, а использование подходящего инструмента поможет быстрее и продуктивнее работать.

Расследование инцидентов — задача не из простых, ведь нужно собрать как можно больше информации, чтобы заручиться доказательствами и разработать план ликвидации последствий. Ниже я опишу несколько полезных инструментов для расследования инцидентов. Большинство из них бесплатные!

Список инструментов:

  1. Autopsy [3]
  2. Encrypted Disk Detector [4]
  3. Wireshark [5]
  4. Magnet RAM Capture [6]
  5. Network Miner [7]
  6. NMAP [8]
  7. RAM Capturer [9]
  8. Forensic Investigator [10]
  9. FAW [11]
  10. HashMyFiles [12]
  11. USB Write Blocker [13]
  12. Crowd Response [14]
  13. NFI Defraser [15]
  14. ExifTool [16]
  15. Toolsley [17]
  16. SIFT [18]
  17. Dumpzilla [19]
  18. Browser History [20]
  19. ForensicUserInfo [21]
  20. Back Track [22]
  21. Paladin [23]
  22. Sleuth Kit [24]
  23. CAINE [25]

1. Autopsy
Autopsy [26] — программа с открытым исходным кодом и графическим интерфейсом для эффективного криминалистического исследования жестких дисков и смартфонов. Тысячи людей пользуются Autopsy, чтобы разобраться в том, что же действительно случилось с компьютером.

23 бесплатных инструмента расследования инцидентов для специалиста по информационной безопасности - 3

Специалисты крупных компаний и военные широко применяют Autopsy в работе. Ниже некоторые из функций Autopsy:

  • анализ электронных писем;
  • определение типа файла;
  • воспроизведение мультимедиа;
  • анализ реестра;
  • восстановление фотографий с карты памяти;
  • извлечение информации о геолокации и фотоаппарате из JPEG-файлов;
  • извлечение данных о сетевой активности из браузера;
  • отображение системных событий в графическом интерфейсе;
  • хронологический анализ;
  • извлечение данных из устройств на Android: SMS, журнал звонков, контакты, и т.д.

С помощью инструмента можно генерировать отчеты в форматах HTML и XLS.

2. Encrypted Disk Detector
Encrypted Disk Detector [27] может помочь провести анализ зашифрованных жестких дисков. Программа работает с разделами, зашифрованными при помощи TrueCrypt, PGP, Bitlocker, Safeboot.

3. Wireshark
Wireshark [28] — это инструмент захвата и анализа сетевых пакетов, который поможет наблюдать за происходящим в вашей сети. Wireshark пригодится при расследовании сетевого инцидента.

4. Magnet RAM Capture
Magnet RAM capture [29] позволяет получить снимок оперативной памяти и проанализировать артефакты в памяти. Программа работает с ОС Windows.

5. Network Miner
Этот интересный инструмент сетевого криминалистического анализа для Windows, Linux и MAC OS X позволяет определить операционную систему, имя хоста, обнаружить сессии и открытые порты с помощью анализатора трафика или PCAP-файла. Network Miner [30] отображает извлеченные артефакты в интуитивно понятном интерфейсе.

23 бесплатных инструмента расследования инцидентов для специалиста по информационной безопасности - 4

6. NMAP
NMAP [31] (Network Mapper) — это один из самых популярных инструментов для аудита сетевой и информационной безопасности. NMAP совместим с большинством операционных систем, в том числе Windows, Linux, Solaris, MAC OS, HP-UX и т.д. Программа с открытым исходным кодом, так что она бесплатна.

7. RAM Capturer
RAM Capturer by Belkasoft [32] — это бесплатный инструмент для создания дампа данных энергозависимой памяти компьютера. Программа совместима с Windows. Дамп памяти может содержать находящиеся на зашифрованных томах пароли и данные для входа в электронную почту или социальные сети.

8. Forensic Investigator
Если вы используете Splunk, то Forensic Investigator [33] вам пригодится. Это приложение для Splunk выполняет множество функций.

23 бесплатных инструмента расследования инцидентов для специалиста по информационной безопасности - 5

  • запросы WHOIS/GeoIP;
  • Ping;
  • сканер портов;
  • сборщик заголовков;
  • анализатор/декодировщик URL;
  • XOR/HEX/Base64 конвертер;
  • просмотр SMB Share/NetBIOS;
  • проверка Virus Total.

9. FAW
FAW [34] (Forensics Acquisition of Websites) используется для сбора данных о веб-странице в целях дальнейшего исследования. В инструменте реализовано следующее:

  • сохранение страницы частично или полностью;
  • сохранение всех видов изображений;
  • сохранение исходного HTML кода веб-страницы;
  • работа с Wireshark.

23 бесплатных инструмента расследования инцидентов для специалиста по информационной безопасности - 6

10. HashMyFiles
HashMyFiles [35] поможет вам вычислить хеши MD5 и SHA1. Инструмент работает почти на всех последних версиях Windows.

23 бесплатных инструмента расследования инцидентов для специалиста по информационной безопасности - 7

11. USB Write Blocker
Просмотрите содержимое USB-накопителя, не оставляя отпечатков, метаданных и меток времени. USB Write Blocker [36] использует реестр Windows для защиты от записи на USB-устройства.

23 бесплатных инструмента расследования инцидентов для специалиста по информационной безопасности - 8

12. Crowd Response
Response [37] от Crowd Strike — это приложение для Windows, предназначенное для сбора системной информации в целях реагирования на инцидент и повышения уровня безопасности. Результаты можно представить в форматах XML, CSV, TSV или HTML с помощью CRConvert. Программа работает на всех 32- и 64-разрядных версиях Windows начиная с XP.

У Crowd Strike есть и другие неплохие инструменты для проведения расследования:

  • Tortilla позволяет анонимно маршрутизировать TCP/IP и DNS трафик через TOR;
  • Shellshock Scanner – проверьте сеть на наличие shellshock уязвимостей;
  • Heartbleed scanner – проверьте сеть на наличие heartbleed уязвимости [38] в OpenSSL.

23 бесплатных инструмента расследования инцидентов для специалиста по информационной безопасности - 9

13. NFI Defraser
Defraser [39] — это инструмент для исследований, который может вам помочь в обнаружении файлов мультимедиа или их фрагментов в информационном потоке.

14. ExifTool
С помощью ExifTool [40] можно считывать, записывать и редактировать метаданные разных видов файлов, в том числе EXIF, GPS, IPTC, XMP, JFIF, GeoTIFF, Photoshop IRB, FlashPix, и т.д.

15. Toolsley
Toolsley [41] предлагает более десятка полезных инструментов расследования:

  • верификация цифровой подписи файлов;
  • идентификация формата файла;
  • хеширование и проверка файлов;
  • инспектор бинарных файлов;
  • шифрование текста;
  • генератор URI данных;
  • генератор паролей.

16. SIFT
SIFT [42] (SANS investigative forensic toolkit) — рабочая станция, свободно доступная для Ubuntu 14.04. SIFT — это набор полезных инструментов анализа и одна из наиболее популярных платформ реагирования на инциденты с открытым исходным кодом.

23 бесплатных инструмента расследования инцидентов для специалиста по информационной безопасности - 10

17. Dumpzilla
Извлекайте всю интересующую вас информацию из браузеров Firefox, Iceweasel и Seamonkey при помощи Dumpzilla [43].

23 бесплатных инструмента расследования инцидентов для специалиста по информационной безопасности - 11

18. Browser History
У Foxton есть два интересных инструмента:

  1. Сохранение истории браузера (Chrome, Firefox, IE и Edge) для Windows;
  2. Просмотр истории браузера. Можно извлечь и проанализировать историю действий в большинстве современных браузеров. Результаты отображаются на интерактивном графике, а данные за прошлые периоды можно отфильтровать.

19. ForensicUserInfo
Воспользовавшись ForensicUserInfo [44] вы сможете извлечь следующую информацию:

  • RID;
  • LM/NT хеш;
  • смена пароля, срок действия учетной записи;
  • количество входов в системы, даты неудачных попыток;
  • группы;
  • путь к профилю.

20. Back Track
Backtrack [45] — это одна из самых популярных платформ для проверки уязвимости, но в ней реализованы и функции криминалистического анализа.

21. Paladin
PALADIN [46] Forensic Suite — самый популярный набор криминалистических инструментов для Linux в мире, представляющий собой модифицированный дистрибутив Linux, основанный на Ubuntu и доступный в 32- и 64-разрядной версиях.

23 бесплатных инструмента расследования инцидентов для специалиста по информационной безопасности - 12

В Paladin входит более 100 инструментов, которые сгруппированы в 29 категорий. Это почти все, что вам нужно, чтобы расследовать инцидент. Autospy входит в последнюю версию — Paladin 6.

22. Sleuth Kit
The Sleuth Kit [47] — это набор инструментов командной строки, предназначенных для изучения и анализа логических дисков и файловых систем, чтобы найти данных.

23. CAINE
CAINE (Computer Aided Investigate Environment) — это дистрибутив Linux, который предлагает полноценную экспертную платформу с более чем 80 инструментами для анализа, исследования и формирования отчетов о действиях.

23 бесплатных инструмента расследования инцидентов для специалиста по информационной безопасности - 13

Надеюсь, что вышеуказанные инструменты помогут вам справиться с инцидентом и ускорить расследование.

По традиции приглашаю всех интересующихся заглянуть в наше HOSTING.cafe [48] и выбрать себе виртуальный сервер [49] или виртуальный хостинг [50]. Отзывы о хостерах собраны на POISK.hosting [51].

Автор: HOSTING.cafe

Источник [52]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/210153

Ссылки в тексте:

[1] индексу утечки данных: http://breachlevelindex.com/

[2] Juniper Research: http://www.juniperresearch.com/press/press-releases/cybercrime-cost-businesses-over-2trillion/

[3] Autopsy: https://habrahabr.ru/company/hosting-cafe/blog/315278/#1

[4] Encrypted Disk Detector: https://habrahabr.ru/company/hosting-cafe/blog/315278/#2

[5] Wireshark: https://habrahabr.ru/company/hosting-cafe/blog/315278/#3

[6] Magnet RAM Capture: https://habrahabr.ru/company/hosting-cafe/blog/315278/#4

[7] Network Miner: https://habrahabr.ru/company/hosting-cafe/blog/315278/#5

[8] NMAP: https://habrahabr.ru/company/hosting-cafe/blog/315278/#6

[9] RAM Capturer: https://habrahabr.ru/company/hosting-cafe/blog/315278/#7

[10] Forensic Investigator: https://habrahabr.ru/company/hosting-cafe/blog/315278/#8

[11] FAW: https://habrahabr.ru/company/hosting-cafe/blog/315278/#9

[12] HashMyFiles: https://habrahabr.ru/company/hosting-cafe/blog/315278/#10

[13] USB Write Blocker: https://habrahabr.ru/company/hosting-cafe/blog/315278/#11

[14] Crowd Response: https://habrahabr.ru/company/hosting-cafe/blog/315278/#12

[15] NFI Defraser: https://habrahabr.ru/company/hosting-cafe/blog/315278/#13

[16] ExifTool: https://habrahabr.ru/company/hosting-cafe/blog/315278/#14

[17] Toolsley: https://habrahabr.ru/company/hosting-cafe/blog/315278/#15

[18] SIFT: https://habrahabr.ru/company/hosting-cafe/blog/315278/#16

[19] Dumpzilla: https://habrahabr.ru/company/hosting-cafe/blog/315278/#17

[20] Browser History: https://habrahabr.ru/company/hosting-cafe/blog/315278/#18

[21] ForensicUserInfo: https://habrahabr.ru/company/hosting-cafe/blog/315278/#19

[22] Back Track: https://habrahabr.ru/company/hosting-cafe/blog/315278/#20

[23] Paladin: https://habrahabr.ru/company/hosting-cafe/blog/315278/#21

[24] Sleuth Kit: https://habrahabr.ru/company/hosting-cafe/blog/315278/#22

[25] CAINE: https://habrahabr.ru/company/hosting-cafe/blog/315278/#23

[26] Autopsy: http://www.sleuthkit.org/autopsy/

[27] Encrypted Disk Detector: https://www.magnetforensics.com/free-tool-encrypted-disk-detector/

[28] Wireshark: https://www.wireshark.org/

[29] Magnet RAM capture: https://www.magnetforensics.com/free-tool-magnet-ram-capture/

[30] Network Miner: http://www.netresec.com/?page=NetworkMiner

[31] NMAP: https://nmap.org/

[32] RAM Capturer by Belkasoft: http://belkasoft.com/ram-capturer

[33] Forensic Investigator: https://splunkbase.splunk.com/app/2895/

[34] FAW: http://www.fawproject.com/en/default.aspx

[35] HashMyFiles: http://www.nirsoft.net/utils/hash_my_files.html

[36] USB Write Blocker: http://dsicovery.com/software/usb-writeblocker/

[37] Response: https://www.crowdstrike.com/resources/community-tools/

[38] heartbleed уязвимости: https://geekflare.com/how-to-test-heart-bleed-ssl-vulnerabilities-cve-2014-0160/

[39] Defraser: https://sourceforge.net/projects/defraser/

[40] ExifTool: http://www.sno.phy.queensu.ca/~phil/exiftool/

[41] Toolsley: https://www.toolsley.com/

[42] SIFT: https://digital-forensics.sans.org/community/downloads/#overview

[43] Dumpzilla: http://www.dumpzilla.org/

[44] ForensicUserInfo: http://www.woanware.co.uk/forensics/forensicuserinfo.html

[45] Backtrack: http://www.backtrack-linux.org/tutorials/backtrack-forensics/

[46] PALADIN: https://sumuri.com/software/paladin/

[47] The Sleuth Kit: http://www.sleuthkit.org/sleuthkit/

[48] HOSTING.cafe: https://hosting.cafe/

[49] виртуальный сервер: https://vds.menu/

[50] виртуальный хостинг: https://shared.menu/

[51] POISK.hosting: https://poisk.hosting/

[52] Источник: https://habrahabr.ru/post/315278/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best