Алмазная модель анализа вторжений: чему, почему и как научиться

Что такое Алмазная модель анализа вторжений?

Алмазная модель анализа вторжений – это платформа кибербезопасности, которая помогает организациям анализировать кибернетические вторжения. Модель была впервые предложена Серджио Кальтаджироне, Эндрю Пендергастом и Кристофером Бетцем в техническом отчете Министерства обороны США за 2013 год под названием “Алмазная модель анализа вторжений” (Caltagirone et al., 2013).

Основными целями модели Diamond являются идентификация конкретных злоумышленников, понимание тактики, угроз и процедур, которые они используют, и более эффективное реагирование на киберинциденты по мере их возникновения.

Точно так же, как в ромбе есть четыре точки, модель Ромба состоит из четырех ключевых компонентов: противники, инфраструктура, возможности и цели. Эти компоненты также имеют различные связи (такие как противник-жертва, инфраструктура противника и возможности жертвы).

В отличие от многих других систем кибербезопасности, модель Diamond в значительной степени фокусируется на задаче установления авторства: идентификации лиц, ответственных за киберинцидент. Модель Diamond также является очень гибкой схемой и может быть применена ко всему – от продвинутых постоянных угроз (APT) до атак программ-вымогателей.

Как работает Алмазная модель?

Как упоминалось выше, существует четыре основных компонента Алмазной модели интрузии:

Противник: злоумышленник или группа, ответственные за киберинцидент.
Инфраструктура: Технические ресурсы или активы, которые злоумышленник использует во время атаки (например, серверы, домены и IP-адреса).
Возможности: Метод, инструмент или техника, которые злоумышленник использует во время атаки (например, вредоносное ПО или эксплойты).
Жертва: физическое лицо или организация, целью которых является противник во время атаки.

Между этими компонентами также существуют различные взаимосвязи, в том числе:

Противник-жертва: взаимодействие между злоумышленником и целью. Эта взаимосвязь касается таких вопросов, как, почему злоумышленник выбрал именно эту цель, а также мотивов и целей злоумышленника.
Инфраструктура противника: Злоумышленник использует различные технические ресурсы и активы. Эта взаимосвязь касается того, как злоумышленник устанавливает и поддерживает свои кибероперации.
Инфраструктура жертвы: Связь цели с техническими ресурсами злоумышленника. Эта взаимосвязь касается использования злоумышленником различных каналов, методов и векторов против цели.
Возможности жертвы: связь цели с инструментами и техниками злоумышленника. Эта взаимосвязь касается конкретной тактики и сигнатур атак, используемых против цели.

Каковы преимущества использования Алмазной модели?

Алмазная модель анализа вторжений предлагает такие преимущества, как:

Целостное понимание: Алмазная модель рассматривает технические аспекты кибератаки, а также человеческие и организационные аспекты (в виде противника и жертвы).
Структурированный анализ: Алмазная модель предоставляет экспертам по кибербезопасности четкий, организованный способ структурирования и обработки данных, относящихся к киберугрозам и атакам, упрощая сотрудничество и обмен информацией.
Реагирование на инциденты и анализ угроз: Алмазная модель предлагает преимущества как для анализа угроз (до атаки), так и для реагирования на инциденты (после атаки), помогая аналитикам собирать и анализировать ценные данные.

Алмазная модель особенно хорошо визуализирует и понимает сложные сценарии атак. Моделируя взаимоотношения между противниками, жертвами, инфраструктурой и возможностями, Алмазная модель помогает кибераналитикам увидеть, как различные элементы кибератаки взаимодействуют друг с другом и влияют друг на друга. Алмазная модель сводит большие объемы данных в простую диаграмму, упрощая изучение различных связей и шаблонов.

Каковы ключевые атрибуты в каждом элементе Алмазной модели?

Каждый элемент алмазной модели обладает различными атрибутами, которые включают ценную дополнительную информацию. Например, ниже приведены некоторые ключевые атрибуты элемента-противника:

Личность, имя или псевдоним злоумышленника.
Мотивы и цели противника (например, финансовая выгода или корпоративный шпионаж).
технические возможности, навыки и знания противника.
Тактика, методы и процедуры противника (TTP).
Индикаторы атрибуции злоумышленника (фрагменты доказательств, которые связывают злоумышленника с определенной группой, такие как сходство кода или схожая тактика).

Ниже приведены некоторые ключевые атрибуты элемента инфраструктуры:

Географическое расположение, IP-адреса и домены серверов в инфраструктуре командования и контроля противника.
Используемые протоколы связи (например, HTTPS или DNS).
Данные о регистрации домена (например, дата регистрации и имя регистрирующей стороны).
Веб-сайты или серверы, на которых размещены вредоносные программы или фишинговые программы.
Аномальные схемы трафика, указывающие на связь с системами командования и управления противника.

Как Алмазная модель согласуется с другими структурами кибербезопасности?

Модель Diamond заметно отличается от других систем кибербезопасности, таких как Cyber Kill Chain от Lockheed Martin или MITRE ATT & CK. Однако основные различия между Алмазной моделью и другими структурами кибербезопасности заключаются в следующем:

Алмазная модель против Cyber Kill Chain: В то время как Алмазная модель концентрируется на взаимоотношениях между противниками и жертвами, цепочка киберуничтожений фокусируется на этапах кибератаки, от наблюдения до достижения целей атаки.

Алмазная модель против MITRE ATT & CK: В отличие от алмазной модели, платформа MITRE ATT & CK гораздо больше фокусируется на детализации ТТП противника, сопоставляя конкретные тактики со стратегиями защиты.

В результате Алмазная модель может работать в тандеме с другими фреймворками, такими как MITRE ATT & CK и Cyber Kill Chain. Каждая структура фокусируется на различных компонентах или элементах кибератаки, помогая аналитикам получить целостную картину инцидента.

Каковы некоторые реальные примеры использования Алмазной модели?

Алмазная модель анализа вторжений эффективно использовалась в практических, реальных случаях использования. Например, аналитики по кибербезопасности Меган Жако и Кейт Эспри использовали Алмазную модель для анализа группы программ-вымогателей и хакеров LAPSUS$. (Esprit and Jacquot, 2022) Они использовали фреймворк для сбора информации о противнике (LAPSUS$) и его инфраструктуре, возможностях и жертвах:

Инфраструктура: инструменты для взлома с открытым исходным кодом, Telegram, подпольные форумы
Возможности социальной инженерии:, DDoS-атаки, украденные сертификаты, сброс учетных данных и т.д.
Жертвы: Компании в сфере телекоммуникаций, программного обеспечения, технологий и игровой индустрии

Алмазная модель также использовалась исследователями Джоном Котхаймером, Кайлом О’Мирой и Диной Шик из Университета Карнеги-Меллон. В своем тематическом исследовании “Использование Honeynets и алмазной модели для анализа угроз ICS” эти исследователи изучили, как злоумышленники взаимодействовали с промышленной системой управления honeynets (поддельные сети, предназначенные для заманивания злоумышленников), и сопоставили эти взаимодействия с различными компонентами алмазной модели. (Kotheimer et al., 2016)

Изучите Алмазную модель анализа вторжений в C | EH

Алмазная модель, основа кибербезопасности, является широко распространенным и эффективным инструментом для понимания взаимосвязей между различными компонентами кибератаки. Эксперты по кибербезопасности должны быть знакомы с моделью Diamond и другими популярными платформами для анализа киберугроз и реагирования на них, а также для расширения своих возможностей реагирования на угрозы.

Программа EC-Council Certified Ethical Hacker (C | EH) обучает студентов основам кибербезопасности векторов атак, таким как модель Diamond. На протяжении 20 комплексных модулей и более 220 практических лабораторных занятий студенты получают теоретические знания, включая алмазную модель анализа вторжений.