Cyber Shelf

// Comparaison

Malware Data Science vs The Practice of Network Security Monitoring : lequel lire ?

Deux livres de cybersécurité sur Detection, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52018
Malware Data Science

Attack Detection and Attribution

Joshua Saxe, Hillary Sanders

Saxe et Sanders appliquent des techniques de machine learning (classification, clustering, deep learning) à la détection et l'attribution malware, avec du code Python fonctionnel et de vrais corpus.

Intermédiaire
5/52013
The Practice of Network Security Monitoring

Understanding Incident Detection and Response

Richard Bejtlich

Le playbook NSM de Richard Bejtlich : comment déployer les sensors de collecte, valider que vous voyez réellement ce que vous pensez voir, et construire des workflows de détection autour d'outils open-source.

À lire si

Analystes malware et détection engineers qui veulent passer à l'échelle au-delà du triage manuel. Saxe et Sanders appliquent classification, clustering, analyse de similarité et deep learning au corpus malware, avec du code Python fonctionnel partout.
Tout analyste SOC et détection engineer. Le texte fondateur de Bejtlich sur le NSM : collect-everything, alert-on-narrow, investigate-broadly. Définit le vocabulaire que le champ détection moderne utilise encore.

À éviter si

Analystes dont le travail est un-échantillon-à-la-fois, ou lecteurs sans confort Python et statistiques basiques. Le livre est pour les environnements riches en télémétrie où le ML à l'échelle compte.
Lecteurs voulant les spécificités de tooling SIEM actuel. Le livre précède l'EDR-par-défaut et la télémétrie cloud-native moderne ; les principes se transfèrent, les spécificités tooling non.

Points clés

  • Les classifieurs à features statiques peuvent router efficacement une queue de triage même à l'échelle ; les chapitres du livre sur le feature engineering remboursent le coût.
  • L'analyse de similarité (locality-sensitive hashing, ssdeep, imphash, fuzzy hashing au niveau fonction) est le levier de l'analyste pour clusteriser des campagnes et tracer l'évolution d'acteurs.
  • Le deep learning est sur-hypé pour le malware dans beaucoup de contextes et exactement le bon outil dans d'autres ; le livre est honnête sur les compromis d'une façon que la plupart des livres ML/sécurité ne sont pas.
  • La détection sans prévention est un choix stratégique, pas un repli ; Bejtlich a été des années en avance pour défendre cela et le livre reste l'argumentation la plus claire.
  • Les quatre types de données (full content, session, transactional, statistical) sont encore le bon framework pour penser la couverture détection.
  • La plupart des échecs SOC sont organisationnels et procéduraux, pas tooling ; les chapitres du livre sur workflows, runbooks et croissance d'analyste sont encore les meilleurs en imprimé.

Comment ils se comparent

Nous notons The Practice of Network Security Monitoring plus haut (5/5 contre 4/5 pour Malware Data Science). Pour la plupart des lecteurs, The Practice of Network Security Monitoring est le choix principal et Malware Data Science un complément utile.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Malware Data Science et The Practice of Network Security Monitoring couvrent tous les deux Detection : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Malware Data Science

Alternatives à Malware Data ScienceQue lire après Malware Data Science

The Practice of Network Security Monitoring

Alternatives à The Practice of Network Security MonitoringQue lire après The Practice of Network Security Monitoring

Thématiques liées

Detection