Cyber Shelf

// Comparaison

Intelligence-Driven Incident Response vs Practical Malware Analysis : lequel lire ?

Deux livres de cybersécurité sur Defensive, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52023
Intelligence-Driven Incident Response

Déjouer l'adversaire

Scott J. Roberts, Rebekah Brown

Un guide pratique pour intégrer le renseignement sur les menaces dans la boucle de réponse à incident, construit autour du cycle F3EAD plutôt qu'autour de tutoriels sur l'outil à la mode.

Intermédiaire
5/52012
Practical Malware Analysis

Le guide pratique pour disséquer les logiciels malveillants

Michael Sikorski, Andrew Honig

Toujours le manuel de référence pour l'analyse statique et dynamique de malwares sur Windows.

À lire si

Analystes IR et praticiens du CTI qui veulent un langage de processus commun, et responsables d'équipe construisant une capacité de renseignement de zéro.
Aspirants chercheurs en menaces, blue-teamers qui veulent lire des échantillons au lieu de les transférer à un éditeur, quiconque préparant le GREM.

À éviter si

Quiconque cherche des ateliers d'outillage pratiques ou des recettes de detection engineering. C'est du processus et du savoir-faire analytique, pas un manuel de travaux pratiques.
Malware Mac/Linux, mobile, ou loaders modernes empaquetés qui mettent en échec l'autoanalyse d'IDA. Le livre est x86 Windows dans l'esprit.

Points clés

  • F3EAD donne à la réponse à incident et au renseignement une seule boucle reproductible au lieu de deux flux de travail déconnectés.
  • Un bon renseignement est un produit destiné à un consommateur ; si aucune décision ne change, l'analyse n'était qu'un coût.
  • L'attribution et la kill chain sont des outils pour agir, pas des trophées à collectionner.
  • L'analyse statique et dynamique sont deux moitiés d'un même flux de travail, pas des alternatives.
  • Les labs sont le livre, les chapitres sont l'échafaudage qui rend les labs résolubles.
  • Les techniques anti-analyse méritent plus de temps que les débutants ne leur accordent généralement.

Comment ils se comparent

Nous notons Practical Malware Analysis plus haut (5/5 contre 4/5 pour Intelligence-Driven Incident Response). Pour la plupart des lecteurs, Practical Malware Analysis est le choix principal et Intelligence-Driven Incident Response un complément utile.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Intelligence-Driven Incident Response et Practical Malware Analysis couvrent tous les deux Defensive : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Intelligence-Driven Incident Response

Alternatives à Intelligence-Driven Incident ResponseQue lire après Intelligence-Driven Incident Response

Practical Malware Analysis

Alternatives à Practical Malware AnalysisQue lire après Practical Malware Analysis

Thématiques liées

Defensive