Cyber Shelf

// Comparaison

Malware Data Science vs Network Security Through Data Analysis : lequel lire ?

Deux livres de cybersécurité sur Detection, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52018
Malware Data Science

Attack Detection and Attribution

Joshua Saxe, Hillary Sanders

Saxe et Sanders appliquent des techniques de machine learning (classification, clustering, deep learning) à la détection et l'attribution malware, avec du code Python fonctionnel et de vrais corpus.

Intermédiaire
4/52017
Network Security Through Data Analysis

From Data to Action

Michael Collins

Michael Collins sur la construction d'une awareness situationnelle à partir de la télémétrie réseau : architecture de collecte, calibrage statistique, et patterns analytiques qui transforment les flows en détection.

À lire si

Analystes malware et détection engineers qui veulent passer à l'échelle au-delà du triage manuel. Saxe et Sanders appliquent classification, clustering, analyse de similarité et deep learning au corpus malware, avec du code Python fonctionnel partout.
Détection engineers et analystes SOC qui ont gradué de 'quelle est cette alerte' à 'cette alerte vaut-elle le coup d'être triée du tout'. Collins est le texte de détection quantitative dont le champ avait besoin.

À éviter si

Analystes dont le travail est un-échantillon-à-la-fois, ou lecteurs sans confort Python et statistiques basiques. Le livre est pour les environnements riches en télémétrie où le ML à l'échelle compte.
Débutants sans bagage NSM, ou lecteurs qui ne font que de la détection log-based. Le livre s'appuie fortement sur les données flow et la pensée statistique ; à coupler d'abord avec The Practice of Network Security Monitoring (Bejtlich) si vous êtes nouveau dans la discipline.

Points clés

  • Les classifieurs à features statiques peuvent router efficacement une queue de triage même à l'échelle ; les chapitres du livre sur le feature engineering remboursent le coût.
  • L'analyse de similarité (locality-sensitive hashing, ssdeep, imphash, fuzzy hashing au niveau fonction) est le levier de l'analyste pour clusteriser des campagnes et tracer l'évolution d'acteurs.
  • Le deep learning est sur-hypé pour le malware dans beaucoup de contextes et exactement le bon outil dans d'autres ; le livre est honnête sur les compromis d'une façon que la plupart des livres ML/sécurité ne sont pas.
  • L'ingénierie de détection à l'échelle est un problème statistique ; le livre enseigne le cadrage que tout SOC moderne finit par réinventer.
  • L'analytique des données flow (NetFlow / IPFIX / sFlow) attrape le mouvement latéral que la détection paquet manque ; le livre est le traitement le plus net en imprimé.
  • La détection d'anomalies en série temporelle peut être bien faite avec du tooling sur étagère et de la pensée claire ; les chapitres sur le calibrage de baseline sont le cœur pratique.

Comment ils se comparent

Malware Data Science et Network Security Through Data Analysis sont tous deux notés 4/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Malware Data Science et Network Security Through Data Analysis couvrent tous les deux Detection : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Malware Data Science

Alternatives à Malware Data ScienceQue lire après Malware Data Science

Network Security Through Data Analysis

Alternatives à Network Security Through Data AnalysisQue lire après Network Security Through Data Analysis

Thématiques liées

Detection