در واقع SANS Investigative Forensic Toolkit (SIFT) یک دیسترو مبتنی بر اوبونتو هست که برای روند فارنسیک مورد استفاده قرار میگیره
https://digital-forensics.sans.org/community/downloads
https://en.wikipedia.org/wiki/SANS_Investigative_Forensics_Toolkit
#SANS SIFT #distro #forensic @unixmens
https://digital-forensics.sans.org/community/downloads
https://en.wikipedia.org/wiki/SANS_Investigative_Forensics_Toolkit
#SANS SIFT #distro #forensic @unixmens
SANS Institute
Digital Forensics and Incident Response Training | SANS Institute
Learn about SANS Digital Forensics courses, training and certifications as well as an extensive suite of free Digital Forensics resources.
FOR532-Volatility (1).pdf
2.7 MB
⚡️SANS released their new Memory Forensics class (FOR532)
#security #sans
🌏 https://t.iss.one/unixmens
#security #sans
🌏 https://t.iss.one/unixmens
Academy and Foundation unixmens | Your skills, Your future
عجله، دشمن , incident response پوستر جدید و تحسینبرانگیز شرکت سنس (SANS) در حوزه واکنش به حوادث امنیتی (Incident Response) برای سیستمعامل قدرتمند لینوکس، نکتهای عجیب و در عین حال عمیق توجه کارشناسان را به خود جلب کرده است: توصیه به عدم واکنش سریع به حوادث…
توصیه به "عدم واکنش سریع" در فرآیند واکنش به حوادث امنیتی (Incident Response)، برخلاف تصور اولیه، به معنای سهلانگاری یا تأخیر بیدلیل نیست؛ بلکه اشاره به یک رویکرد هوشمندانه و مبتنی بر تحلیل دارد. حالا بیایید بررسی کنیم چرا این توصیه مهم است و چه چیزی از آن برداشت میشود:
چرا نباید بیش از حد سریع واکنش نشان داد؟
1. ناشناخته بودن ابعاد حادثه:
اگر بدون تحلیل اولیه، اقدام به رفع مشکل کنیم، ممکن است ابعاد واقعی حمله و سطح نفوذ مهاجم را درک نکرده باشیم. این باعث میشود برخی نقاط ضعف همچنان باز بمانند.
2. هشدار زودهنگام به مهاجم:
اقدامات عجولانه میتوانند مهاجم را از شناسایی شدن آگاه کنند، در نتیجه، او استراتژی خود را تغییر داده، ردپاهایش را حذف کند یا حتی نفوذ خود را عمیقتر کند.
3. پرش از مراحل حیاتی (مثل containment):
برخی تیمها مستقیماً به Eradication (پاکسازی) میپردازند، بدون اینکه مهاجم را محصور (Containment) کنند. این کار به مهاجم اجازه میدهد حمله را مجدداً راهاندازی کند یا مسیرهای نفوذ جایگزین پیدا کند.
4. تصمیمگیری بر اساس دادههای ناقص:
اگر شتابزده عمل کنیم، ممکن است ریشه اصلی مشکل را نبینیم و در نتیجه، فقط بخش کوچکی از حمله را خنثی کنیم.
پس منظور از "به کندی پاسخ دادن" چیست؟
"به کندی" در اینجا یعنی با دقت و تحلیل پیش رفتن، نه اینکه واقعا واکنش را به تعویق بیندازیم. این یعنی:
✅ ابتدا شناسایی دقیق حادثه (Identification & Scoping) انجام شود.
✅ پیش از اقدام، بررسی کنیم که مهاجم همچنان فعال است یا خیر.
✅ ابتدا مهاجم را محدود (Contain) کرده و دسترسیاش را مسدود کنیم.
✅ سپس، مرحله Eradication (حذف تهدید) و Recovery (بازیابی) را بهدرستی انجام دهیم.
✅ در نهایت، در Lessons Learned اشتباهات و نقاط ضعف را مستند کنیم تا در آینده تکرار نشوند.
نتیجهگیری:
واکنش به حادثه نیازمند سرعت عمل است، اما عجله ممنوع! تیمهای امنیتی باید بدون شتابزدگی، اما با تمرکز، تحلیل و برنامهریزی دقیق، اقدام به مدیریت حملات کنند تا بهترین نتیجه را بگیرند.
#security #sans #attack #action
@unixmens
چرا نباید بیش از حد سریع واکنش نشان داد؟
1. ناشناخته بودن ابعاد حادثه:
اگر بدون تحلیل اولیه، اقدام به رفع مشکل کنیم، ممکن است ابعاد واقعی حمله و سطح نفوذ مهاجم را درک نکرده باشیم. این باعث میشود برخی نقاط ضعف همچنان باز بمانند.
2. هشدار زودهنگام به مهاجم:
اقدامات عجولانه میتوانند مهاجم را از شناسایی شدن آگاه کنند، در نتیجه، او استراتژی خود را تغییر داده، ردپاهایش را حذف کند یا حتی نفوذ خود را عمیقتر کند.
3. پرش از مراحل حیاتی (مثل containment):
برخی تیمها مستقیماً به Eradication (پاکسازی) میپردازند، بدون اینکه مهاجم را محصور (Containment) کنند. این کار به مهاجم اجازه میدهد حمله را مجدداً راهاندازی کند یا مسیرهای نفوذ جایگزین پیدا کند.
4. تصمیمگیری بر اساس دادههای ناقص:
اگر شتابزده عمل کنیم، ممکن است ریشه اصلی مشکل را نبینیم و در نتیجه، فقط بخش کوچکی از حمله را خنثی کنیم.
پس منظور از "به کندی پاسخ دادن" چیست؟
"به کندی" در اینجا یعنی با دقت و تحلیل پیش رفتن، نه اینکه واقعا واکنش را به تعویق بیندازیم. این یعنی:
✅ ابتدا شناسایی دقیق حادثه (Identification & Scoping) انجام شود.
✅ پیش از اقدام، بررسی کنیم که مهاجم همچنان فعال است یا خیر.
✅ ابتدا مهاجم را محدود (Contain) کرده و دسترسیاش را مسدود کنیم.
✅ سپس، مرحله Eradication (حذف تهدید) و Recovery (بازیابی) را بهدرستی انجام دهیم.
✅ در نهایت، در Lessons Learned اشتباهات و نقاط ضعف را مستند کنیم تا در آینده تکرار نشوند.
نتیجهگیری:
واکنش به حادثه نیازمند سرعت عمل است، اما عجله ممنوع! تیمهای امنیتی باید بدون شتابزدگی، اما با تمرکز، تحلیل و برنامهریزی دقیق، اقدام به مدیریت حملات کنند تا بهترین نتیجه را بگیرند.
#security #sans #attack #action
@unixmens