Cyber Shelf

// Comparaison

Evading EDR vs Malware Data Science : lequel lire ?

Deux livres de cybersécurité sur Malware, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Avancé
4/52024
Evading EDR

Le guide définitif pour déjouer les systèmes de détection des terminaux

Matt Hand

Un démontage composant par composant de la façon dont les capteurs EDR modernes collectent réellement la télémétrie, et des endroits où chaque source de données peut être affamée, aveuglée ou contournée.

Intermédiaire
4/52018
Malware Data Science

Attack Detection and Attribution

Joshua Saxe, Hillary Sanders

Saxe et Sanders appliquent des techniques de machine learning (classification, clustering, deep learning) à la détection et l'attribution malware, avec du code Python fonctionnel et de vrais corpus.

À lire si

Red teamers et ingénieurs en détection qui veulent raisonner sur l'EDR depuis le capteur, plutôt que de copier-coller le contournement à la mode.
Analystes malware et détection engineers qui veulent passer à l'échelle au-delà du triage manuel. Saxe et Sanders appliquent classification, clustering, analyse de similarité et deep learning au corpus malware, avec du code Python fonctionnel partout.

À éviter si

Quiconque cherche une liste clé en main de contournements fonctionnels. Passez votre chemin si vous n'utilisez pas Windows ou si les internes vous rebutent.
Analystes dont le travail est un-échantillon-à-la-fois, ou lecteurs sans confort Python et statistiques basiques. Le livre est pour les environnements riches en télémétrie où le ML à l'échelle compte.

Points clés

  • L'EDR est un ensemble de sources de télémétrie, pas un monolithe ; l'évasion suppose de savoir quelle source voit quoi.
  • Les contournements les plus durables visent la collecte de données du capteur, pas sa logique de détection.
  • Une compréhension indépendante des éditeurs survit à n'importe quel contournement précis, que les éditeurs corrigent vite.
  • Les classifieurs à features statiques peuvent router efficacement une queue de triage même à l'échelle ; les chapitres du livre sur le feature engineering remboursent le coût.
  • L'analyse de similarité (locality-sensitive hashing, ssdeep, imphash, fuzzy hashing au niveau fonction) est le levier de l'analyste pour clusteriser des campagnes et tracer l'évolution d'acteurs.
  • Le deep learning est sur-hypé pour le malware dans beaucoup de contextes et exactement le bon outil dans d'autres ; le livre est honnête sur les compromis d'une façon que la plupart des livres ML/sécurité ne sont pas.

Comment ils se comparent

Evading EDR et Malware Data Science sont tous deux notés 4/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Evading EDR vise le niveau avancé. Malware Data Science vise le niveau intermédiaire. Lisez le plus accessible d'abord si la thématique ne vous est pas familière.

Evading EDR et Malware Data Science couvrent tous les deux Malware, Detection : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Evading EDR

Alternatives à Evading EDRQue lire après Evading EDR

Malware Data Science

Alternatives à Malware Data ScienceQue lire après Malware Data Science

Thématiques liées

MalwareDetection