Cyber Shelf

// Comparaison

Malware Data Science vs The Art of Memory Forensics : lequel lire ?

Deux livres de cybersécurité sur Malware, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52018
Malware Data Science

Attack Detection and Attribution

Joshua Saxe, Hillary Sanders

Saxe et Sanders appliquent des techniques de machine learning (classification, clustering, deep learning) à la détection et l'attribution malware, avec du code Python fonctionnel et de vrais corpus.

Avancé
5/52014
The Art of Memory Forensics

Detecting Malware and Threats in Windows, Linux, and Mac Memory

Michael Hale Ligh, Andrew Case, Jamie Levy, AAron Walters

La référence canonique de Ligh, Case, Levy et Walters sur l'analyse mémoire avec Volatility — la technique, le tooling et les internals OS dont elle dépend, sur Windows, Linux et macOS.

À lire si

Analystes malware et détection engineers qui veulent passer à l'échelle au-delà du triage manuel. Saxe et Sanders appliquent classification, clustering, analyse de similarité et deep learning au corpus malware, avec du code Python fonctionnel partout.
Incident responders, threat hunters et analystes malware qui dépassent la forensique disque pour entrer là où les attaquants modernes vivent vraiment : en mémoire, en transit, sans fichier sur disque. Aussi le manuel pour le parcours DFIR GCFA-et-au-delà.

À éviter si

Analystes dont le travail est un-échantillon-à-la-fois, ou lecteurs sans confort Python et statistiques basiques. Le livre est pour les environnements riches en télémétrie où le ML à l'échelle compte.
Débutants sans bagage internals OS ; le livre suppose que vous savez ce qu'est un processus, un handle et un objet kernel. Daté aussi sur Volatility 3 — écrit pour la 2.x — bien que le matériel conceptuel se traduise proprement.

Points clés

  • Les classifieurs à features statiques peuvent router efficacement une queue de triage même à l'échelle ; les chapitres du livre sur le feature engineering remboursent le coût.
  • L'analyse de similarité (locality-sensitive hashing, ssdeep, imphash, fuzzy hashing au niveau fonction) est le levier de l'analyste pour clusteriser des campagnes et tracer l'évolution d'acteurs.
  • Le deep learning est sur-hypé pour le malware dans beaucoup de contextes et exactement le bon outil dans d'autres ; le livre est honnête sur les compromis d'une façon que la plupart des livres ML/sécurité ne sont pas.
  • La mémoire est le seul endroit où les outils post-exploitation modernes sont garantis d'être honnêtes ; le livre fait l'argument en montrant ce qu'on peut récupérer que le disque ne peut pas.
  • Les plugins Volatility sont une grammaire d'enquête — une fois les verbes connus, on peut construire les questions ; le livre est le dictionnaire de la grammaire.
  • La forensique mémoire cross-OS est un workflow avec trois dialectes ; la couverture unifiée Windows/Linux/macOS est le choix structurel sous-estimé du livre.

Comment ils se comparent

Nous notons The Art of Memory Forensics plus haut (5/5 contre 4/5 pour Malware Data Science). Pour la plupart des lecteurs, The Art of Memory Forensics est le choix principal et Malware Data Science un complément utile.

Malware Data Science vise le niveau intermédiaire. The Art of Memory Forensics vise le niveau avancé. Lisez le plus accessible d'abord si la thématique ne vous est pas familière.

Malware Data Science et The Art of Memory Forensics couvrent tous les deux Malware : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Malware Data Science

Alternatives à Malware Data ScienceQue lire après Malware Data Science

The Art of Memory Forensics

Alternatives à The Art of Memory ForensicsQue lire après The Art of Memory Forensics

Thématiques liées

Malware