因为网络安全事件报告而要关注什么技术领域？答案是DFIR。

笔者：国际认证信息系统审计师（CISA）、软考系统分析师

SIFT 工作站在国内的知名度，相对 Kali Linux 这一已经是安全界人所周知的攻击与渗透测试专用发行版来说，确实没那么高。这也是因为 DFIR 这一细分领域确实没那么显眼。但 DFIR 能力的重要性，对于网络安全中的甲方人员，或者是为甲方做防守服务的乙方人员（以下合称蓝队人员）来说，其实是不可或缺的。
尤其在《网络安全事件报告管理办法（征求意见稿）》的要求下，安全事件临场响应和取证能力很可能会成为蓝队人员的刚需，所以笔者建议各位蓝队人员都应集中精力抓紧学习相关技能。

跳转阅读：甲方人员角度解读网络安全事件报告管理办法（征求意见稿）

不过前提还是有的：学习和掌握 DFIR 领域知识，主要还是为了更好地实现日常工作的履职尽责，及早发现苗头。但当发生安全事件时，是自己动手，还是让更专业且有司法效力的取证技术力量介入，笔者还是倾向于后者。

SIFT 工作站是 SANS 研究院（SANS Institute，https://www.sans.org）开发的，它是一个免费开源的事件响应和取证工具的集合，可以应对各种系统环境下的数字取证和事件响应工作需要，并且可以和其它类似的工具套件协同使用。

SANS 研究院是早在1989年便成立的专注于信息安全领域的研究和教育机构。SIFT 工作站是在2007年由 SANS 研究院的 Rob Lee 创建的，起初只是作为网络安全取证分析课程的教学工具。

随着网络安全逐渐发展为成熟的行业，SIFT 工作站也同步成为成熟的工具集合，并提供给网络安全社区公开使用。

SIFT 工作站作为取证分析工具得到网络安全社区的认同，说明了蓝队所希望具备的成熟的事件响应能力和深度数字取证技术可以使用免费和开源的工具集合而获得。

在应对网络安全事件时，SIFT 工作站可以支持蓝队人员、取证分析师等岗位角色执行如下工作：

1、快速编写和执行用于分析的自动化脚本

2、提供威胁情报和妥协指标（Indicator of Compromise，IoC）信息

3、提供威胁狩猎和恶意软件分析功能

下载安装方法有三种，预配置的虚拟机、Ubuntu 操作系统内安装和Windows 操作系统 WSL 环境安装。过程大致如下：

1、使用预配置的 Ubuntu 虚拟机

到 SANS 的网站注册，然后在如下地址下载虚拟机 OVA 文件：
https://www.sans.org/tools/sift-workstation/

配置和加载 OVA 文件这种基本功就不提了。默认登录信息倒是要提一下：

用户名：sansforensics

默认密码：forensics

登录后可以用 su 命令提权，执行诸如挂载文件系统这类特权操作。由于是直接基于 Ubuntu 实现，因此也可以持续升级操作系统本身。

2、在已安装的 Ubuntu 环境下安装

要求使用 Ubuntu 22.04 或 20.04（已过时）版本，然后分两步执行安装，具体过程如下：

1）到如下地址下载 CAST 安装工具的最新版本

https://github.com/ekristen/cast/releases

2）安装 CAST

wget https://github.com/ekristen/cast/releases/download/v0.14.0/cast_v0.14.0_linux_amd64.deb

3）执行CAST命令安装SIFT

cast install teamdfir/sift-saltstack

安装过程自动化，不用考虑。安装过程会同时创建专用的默认登录，用户名和密码和在第1种方法中的一样。

要注意的是，旧的安装工具 SIFT-CLI 已经淘汰；CAST 安装工具本身还在发展中，本文编写时尚未提供卸载功能。
3、在 Windows WSL 环境下安装
由于 Windows WSL 环境也提供了 Ubuntu ，所以可以在 WSL 环境下使用 SIFT。
过程是先基于 WSL 安装配置好 Ubuntu 22.04 或 20.04 版本，然后和前述第2点一样的过程，下载安装 CAST 命令，再通过 CAST 命令安装 SIFT。

本文不可能是 DFIR 的完整教学，只对 DFIR 做简单介绍。如果发生了网络安全事件，蓝队人员需要执行以下的系列动作：

1、检测和判断攻击发生的时间和方法

2、快速识别出已被控制或已经损毁的信息系统

3、进行损害程度进行评估，确定数据是否被读取、被盗走或被篡改

4、对事件实施控制和补救措施

5、基于对事件的分析，发掘其它可能的入侵情况

SIFT 工作站包含的各类软件可以支持蓝队人员完成以上工作。

读者还可以对照一下《网络安全事件报告管理办法（征求意见稿）》第五条中要求的报告内容，可以发现两者是相似的。
由于 SIFT 工作站是开源软件的集合，所以不能将其与商业化的此类软件直接相比。商业软件会有降低操作门槛的GUI界面和集成化的功能环境。SIFT 就要靠自己的动手能力。但万变不离其宗，商业软件功能的本质和 SIFT 工作站内集成的开源软件是一致的。

SIFT 工作站内置的各种开源工具都可以在网络上搜索到使用指南信息，比如其中包含内存分析工具 Volatility Framework（https://www.volatilityfoundation.org/），本身就是独立的安全软件项目。SIFT 工作站整合这些工具而为使用人提供了便利。

再具体一点，作为分析取证工具，最重要的是必须支持最广泛的文件系统和执法证据用途的磁盘影像文件格式。SIFT 工作站本身依赖于 LINUX 操作系统体系实现，对于文件系统和磁盘影像文件格式的支持具有足够的兼容性。

笔者想补充的是，基于虚拟机或者 WSL 的使用方式还是会有一些局限性，学习过程是可以，但如果要全面和充分发挥 SIFT 工作站的取证分析功能，减少干扰，还是应该用物理安装方式。

SANS 研究院提供了使用 SIFT 进行取证操作的示例教程（在油管上）。Rob Lee 也写了一些关于 SIFT 使用的博客文章，比如：

如何以只读方式挂载文件系统证据：

https://www.sans.org/blog/digital-forensic-sifting-how-to-perform-a-read-only-mount-of-filesystem-evidence
创建注册表和文件系统时间线：

https://www.sans.org/blog/digital-forensic-sifting-registry-and-filesystem-timeline-creation
使用 log2timeline 创建超级时间线：

https://www.sans.org/blog/digital-forensic-sifting-super-timeline-creation-using-log2timeline
等等。实际上用户要掌握的是这些被包含在 SIFT 工作站内的用于取证分析过程的各种开源软件，从最基础的 mount 操作到具体的分析工具如何使用等等。
下面再用一个简单的过程描述作介绍。
假设在大量的有效培训措施加持下，一名有警觉意识的终端用户发现自己的终端计算机疑似被控制，于是向网络安全管理员报告。网络安全管理员对该可疑终端计算机尝试开展取证分析。
1、在 SIFT 工作站计算机上确保用只读方式加载可疑终端计算机的硬盘。

2、把可疑终端计算机的硬盘复制为证据硬盘影像文件。具体方式可以区分为基于文件系统的影像和对全部硬盘空间的影像，我们设定为后者。
3、卸载硬盘，确保用只读方式挂载证据硬盘影像文件。
4、对挂载的证据硬盘影像用恶意软件扫描软件比如 ClamAV 进行扫描，分析扫描结果。

5、检查证据硬盘影像内的各种日志，分析可能的疑点，寻找线索。

6、基于日志内容组织形成时间线，确定具体情况发生的时间要素，重组过程。

7、通过工具软件比如 Loki 检查证据硬盘影像上是否存在被入侵的特征（IoC，Indicators of Compromise）。
8、检查证据硬盘影像操作系统的持久化运行相关设置，包括在操作系统启动时运行的各种自动加载项、定时任务等，检查这些自动启动的可执行程序是否为恶意软件。
9、如果终端计算机的操作系统环境是通过受控的硬盘影像克隆安装的，可以通过校验和工具，以原受控的硬盘影像内的文件为基准，找出证据硬盘影像内新增的或被修改的文件，并确定这些文件是否为恶意软件。
10、对证据硬盘影像的未分配空间尝试进行文件恢复，对恢复得到的文件检查确定是否为恶意软件。
以上过程需要非常熟悉操作系统环境，还涉及大量的开源环境操作命令和专门设计的工具。比如确定文件是否为恶意软件，除了 ClamAV 这个耳熟能详的工具外，还有诸如densityscout这种基于混淆保护检测的检查工具。所以 DFIR 这个细分领域依然是需要具备足够的知识储备才能胜任。

SIFT工作站的桌面上已经预置了一些文档，比如使用指引，甚至还设计了一些海报让用户可以贴在办公环境显摆。

不过在笔者的审美角度，SANS一向以来的海报设计等同于把教程堆放到A0幅面上，如果打成A4幅面密密麻麻都是字，根本没法贴在办公屏风上做参考。其实就算用A0幅面打印也不好看，局部裁剪再放大才像个海报的样子。

最后还是要来点借题发挥。Kali Linux也好，SIFT 工作站也好，国内那么多安全公司（包括安全培训机构），商业产品确实不少，但就没见到哪家有做出了类似的且得到社区广泛认可的开源工具集合，而且关键是：基于自主的Linux发行版去做。
天天说自主（我知道很多人会吐槽，暂且不讨论），但行业新人的学习工具都是靠别人做，这个氛围实际就是：
不踏实。

原文始发于微信公众号（wavecn）：因为网络安全事件报告而要关注什么技术领域？答案是DFIR。