Cyber Shelf

// Comparaison

Intelligence-Driven Incident Response vs Threat Modeling : lequel lire ?

Deux livres de cybersécurité sur Defensive, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52023
Intelligence-Driven Incident Response

Déjouer l'adversaire

Scott J. Roberts, Rebekah Brown

Un guide pratique pour intégrer le renseignement sur les menaces dans la boucle de réponse à incident, construit autour du cycle F3EAD plutôt qu'autour de tutoriels sur l'outil à la mode.

Intermédiaire
5/52014
Threat Modeling

Designing for Security

Adam Shostack

L'introduction de praticien d'Adam Shostack à la modélisation des menaces : STRIDE, arbres d'attaque, et comment intégrer la pratique au cycle de vie logiciel réel.

À lire si

Analystes IR et praticiens du CTI qui veulent un langage de processus commun, et responsables d'équipe construisant une capacité de renseignement de zéro.
Quiconque conçoit des systèmes et veut livrer moins de bugs en production. La modélisation de menaces est la pratique de sécurité à plus fort levier pour les développeurs ; ce livre l'a enfin rendue enseignable.

À éviter si

Quiconque cherche des ateliers d'outillage pratiques ou des recettes de detection engineering. C'est du processus et du savoir-faire analytique, pas un manuel de travaux pratiques.
Lecteurs qui veulent une checklist rapide ou un one-pager. Shostack est exhaustif : STRIDE, arbres d'attaque, diagrammes de flux de données, kill chain, le tout avec des exemples filés. Survoler le livre est un gâchis.

Points clés

  • F3EAD donne à la réponse à incident et au renseignement une seule boucle reproductible au lieu de deux flux de travail déconnectés.
  • Un bon renseignement est un produit destiné à un consommateur ; si aucune décision ne change, l'analyse n'était qu'un coût.
  • L'attribution et la kill chain sont des outils pour agir, pas des trophées à collectionner.
  • STRIDE est une fonction de forçage pour la pensée systématique, pas un modèle complet ; le livre apprend quand l'utiliser et quand changer de cadre (arbres d'attaque, personas attaquants, kill chains).
  • La plupart des « outils de threat modeling » sont du tableur-avec-diagrammes ; le vrai bénéfice est la conversation que ces outils structurent, pas le document.
  • Le threat modeling tient dans agile et fonctionne au tempo de la revue de PR une fois pratiqué trois ou quatre fois ; le livre l'argumente à coups d'exemples.

Comment ils se comparent

Nous notons Threat Modeling plus haut (5/5 contre 4/5 pour Intelligence-Driven Incident Response). Pour la plupart des lecteurs, Threat Modeling est le choix principal et Intelligence-Driven Incident Response un complément utile.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Intelligence-Driven Incident Response et Threat Modeling couvrent tous les deux Defensive : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Intelligence-Driven Incident Response

Alternatives à Intelligence-Driven Incident ResponseQue lire après Intelligence-Driven Incident Response

Threat Modeling

Alternatives à Threat ModelingQue lire après Threat Modeling

Thématiques liées

Defensive