Diamond Model jest diagramem przydatnym przy analizie włamań. Diagram może być wykorzystany do szybkiego przekazywania informacji o zdarzeniu niezależnie od specyfiki infrastruktury. Artykuł jest jedynie ogólnym wstępem, po szczegóły odsyłam do opracowania.

Model ten ma za zadanie reprezentować incydent, zwany również wydarzeniem. Składa się on z czterech części. Włamanie zaczyna się od przeciwnika (adversary), który atakuje ofiarę (victim). Aby przeprowadzić atak, napastnik użyje pewnych możliwości (capabilities) w różnych formach infrastruktury (infrastructure).

Adversary

Napastnik lub grupa odpowiedzialna za wykorzystanie możliwości przeciwko ofierze w celu osiągnięcia zamierzonego efektu.

Victim

Ofiara przeciwnika, przeciwko której wykorzystuje się luki oraz możliwości.

Capabilities

Narzędzia i / lub techniki przeciwnika, które są używane w wydarzeniu.

Infrastructure

Fizyczne i / lub logiczne struktury komunikacyjne, których używa przeciwnik, aby zapewnić możliwości, utrzymywać kontrolę nad możliwościami (na przykład CnC) oraz umożliwić działania na ofierze (na przykład kradzież danych).

Analytic pivoting

Linie łączące każdą część modelu przedstawiają mapowanie, w jaki sposób jeden punt osiągnął drugi. Na przykład, analityk może zobaczyć, w jaki sposób wykorzystywana jest taka możliwość, jak atak phishingowy na infrastrukturę, taką jak poczta elektroniczna, a następnie powiązać możliwości z powrotem do napastnika.

Poruszanie się między każdą częścią ataku nazywa się „analytic pivoting” i jest kluczem do modelowania zdarzenia. Ważne jest, aby pamiętać, że nie ma właściwego, ani niewłaściwego sposobu na poruszanie się po danych.

Na przykład, jeśli poszukiwania rozpocznę od znanego przeciwnika oznacza, że będę chciał przejść przez każdy z pozostałych wierzchołków w trójkącie. Kolejność, w której przechodzę przez każdy węzeł jest nieistotna. Ponieważ model ma cztery wierzchołki, istnieją 24 możliwe permutacje.

Aby było to trochę lepiej zrozumiałe, pomyśl o tym w następujący sposób: mogę rozpocząć obrót znając przeciwnika, a podczas kolejnych kroków chciałbym zidentyfikować jego możliwości, infrastrukturę oraz ofiarę. I odwrotnie, mogę zacząć od znajomości ofiary ataku i przechodzić przez wierzchołki, aż dotrę do przeciwnika. Użycie tej metody daje pełniejszy obraz danego zagrożenia lub zdarzenia.

Natkniesz się prawdopodobnie na sytuacje, w której przejście przez każdy węzeł nie będzie możliwe z powodu brakujących danych. To normalna sytuacja, która okazuje się świetnym sposobem na poznanie luk w inteligencji i da Ci feedback, gdzie powinieneś skupić swoje operacje.

Meta-Features

Diamond Model zawiera również dodatkowe meta-cechy zdarzenia, takie jak znacznik czasu, faza modelu Kill Chain, wynik ataku, kierunek ataku, metoda ataku oraz użyte zasoby.

Przykładowo:

  • znacznik czasu – 13:07
  • faza Kill Chain – eksploatacja
  • wynik ataku – skuteczny
  • kierunek – napastnik do ofiary
  • metoda – spear phishing
  • zasoby – specyficzna luka w hoście ofiary

Meta-cechy zapewniają użyteczny kontekst, ale nie są kluczowe dla modelu. Dlatego w zależności od potrzeb można je zignorować lub rozszerzyć.

1 KOMENTARZ

ZOSTAW ODPOWIEDŹ

Please enter your comment!
Please enter your name here