Cyber Shelf

// Comparaison

Incident Response and Computer Forensics vs The Art of Memory Forensics : lequel lire ?

Deux livres de cybersécurité sur Incident Response, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52014
Incident Response and Computer Forensics

Jason T. Luttgens, Matthew Pepe, Kevin Mandia

Le playbook de travail de Luttgens, Pepe et Mandia pour mener un engagement IR d'entreprise : préparation pré-engagement, acquisition de preuves, forensique réseau et host, et la discipline de gestion de projet qui sépare une réponse contrôlée d'une panique.

Avancé
5/52014
The Art of Memory Forensics

Detecting Malware and Threats in Windows, Linux, and Mac Memory

Michael Hale Ligh, Andrew Case, Jamie Levy, AAron Walters

La référence canonique de Ligh, Case, Levy et Walters sur l'analyse mémoire avec Volatility — la technique, le tooling et les internals OS dont elle dépend, sur Windows, Linux et macOS.

À lire si

Incident responders junior à senior, leads SOC et CISO qui ont besoin de la référence cross-discipline canonique sur ce à quoi ressemble un vrai programme IR de bout en bout. Le plus fort comme primer structurel — le modèle de maturité implicite dans le livre est encore la baseline de fait du champ.
Incident responders, threat hunters et analystes malware qui dépassent la forensique disque pour entrer là où les attaquants modernes vivent vraiment : en mémoire, en transit, sans fichier sur disque. Aussi le manuel pour le parcours DFIR GCFA-et-au-delà.

À éviter si

Lecteurs voulant le tradecraft actuel sur la réponse aux attaques d'identité (AAD, abus OAuth, golden SAML), l'IR cloud spécifiquement, ou la traque moderne pilotée EDR ; le livre est largement on-prem 2014. À coupler avec des ressources cloud-IR spécifiques (blog Mandiant, runbooks AWS / Azure incident response) pour la couche manquante.
Débutants sans bagage internals OS ; le livre suppose que vous savez ce qu'est un processus, un handle et un objet kernel. Daté aussi sur Volatility 3 — écrit pour la 2.x — bien que le matériel conceptuel se traduise proprement.

Points clés

  • La préparation est l'engagement : la majeure partie de ce qui détermine l'issue d'une IR est décidée avant que l'appel n'arrive.
  • La discipline acquérir-puis-analyser tient encore ; couper ce coin est ce qui produit les rétrospectives à mauvais titre.
  • Les chapitres gestion de projet du livre sont la moitié sous-estimée — la plupart des réponses ratées sont des échecs de management, pas techniques.
  • La mémoire est le seul endroit où les outils post-exploitation modernes sont garantis d'être honnêtes ; le livre fait l'argument en montrant ce qu'on peut récupérer que le disque ne peut pas.
  • Les plugins Volatility sont une grammaire d'enquête — une fois les verbes connus, on peut construire les questions ; le livre est le dictionnaire de la grammaire.
  • La forensique mémoire cross-OS est un workflow avec trois dialectes ; la couverture unifiée Windows/Linux/macOS est le choix structurel sous-estimé du livre.

Comment ils se comparent

Nous notons The Art of Memory Forensics plus haut (5/5 contre 4/5 pour Incident Response and Computer Forensics). Pour la plupart des lecteurs, The Art of Memory Forensics est le choix principal et Incident Response and Computer Forensics un complément utile.

Incident Response and Computer Forensics vise le niveau intermédiaire. The Art of Memory Forensics vise le niveau avancé. Lisez le plus accessible d'abord si la thématique ne vous est pas familière.

Incident Response and Computer Forensics et The Art of Memory Forensics couvrent tous les deux Incident Response, Forensics : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Incident Response and Computer Forensics

Alternatives à Incident Response and Computer ForensicsQue lire après Incident Response and Computer Forensics

The Art of Memory Forensics

Alternatives à The Art of Memory ForensicsQue lire après The Art of Memory Forensics

Thématiques liées

Incident ResponseForensics