本章总结了钻石模型技术报告,该报告描述了一个丰富而复杂的模型,揭示了分析和威胁缓解的重要意义。图1为入侵分析的Diamond模型。一个事件展示了每个恶意活动的核心特性:对手、受害者、能力和基础设施。这些特征是基于它们潜在的关系而联系在一起的。– Sergio Caltagirone
Diamond模型提出了一个由分析人员根据多年经验构建的入侵分析的新概念,并提出了一个简单的问题:“我们工作的基本方法是什么?”该模型建立了任何入侵活动的基本原子元素,即事件,由四个核心特征组成:对手、基础设施、能力和受害者。
这些特征是边缘连接的,代表了它们的基本关系,并排列成钻石的形状,这就给了模型一个名字:钻石模型。它进一步定义了额外的元特性来支持更高级的构造,比如将事件链接到活动线程中,并进一步将事件和线程合并到活动组中。
这些元素、事件、线程和组都有助于围绕分析过程构建入侵活动的基础和综合模型。它捕获了入侵分析和对手操作的基本概念,同时允许模型可扩展性扩展并包含新的思想和概念。
该模型首次建立了一种正式的方法,将科学原理应用于入侵分析——特别是那些度量、可测试性和可重复性的原则——从而提供了一种全面的活动记录、综合和关联方法。
这种科学的方法和简单性提高了分析的有效性、效率和准确性。最终,该模型为网络防御提供了实时集成情报、事件间自动关联、将有置信度的事件分类到对手战役、在规划和游戏缓解策略时预测对手的行动提供了机会。
一、钻石模型的好处
•启用上下文丰富和关系丰富的指标,改善网络威胁情报共享,增加指标的适用性范围
•通过活动攻击图集成信息保障和网络威胁情报
•通过更容易地识别支点机会和生成新的分析问题的简单概念方法,提高分析效率和有效性
•通过支持假设生成、文档编制和测试,从而提高分析的准确性,从而使分析过程更加严格
•通过与几乎所有规划框架的轻松集成,支持行动开发、规划/博弈和缓解策略
•通过形式化第一个原则来加强网络分析技术的发展,在此基础上可以探索新的概念
•通过基于阶段的方法和将外部资源需求作为基本元功能来识别情报差距
•通过将分析过程映射到易于理解的分类和入侵检测研究,支持实时事件表征
•建立网络活动本体、分类、网络威胁情报共享协议和知识管理的基础
二、理解威胁狩猎/IR中的钻石模型
作为一个威胁猎人或事件响应者,我们试图了解我们所保护的网络中的威胁是什么。我们试图回答围绕diamond模型的核心组件的问题:对手、受害者、能力和基础设施。这允许我们通过使用分析概念从根本上详细描述恶意活动的各个方面,并更好地了解谁、什么、为什么以及如何进行。让我们把核心组件分解成一些与猎人或防御者相关的东西。
对手
传统上,这是用来分类某些APT群体,但我们可以认为这是谁背后的坏人活动。例如电子邮件、地址、句柄和电话号码。
能力
这些是对手实现其目标的方法或能力。例如恶意软件(定制或商品)、利用、使用的工具甚至使用的命令,以及命令和控制基础结构。
基础设施
我们的目标是回答对手如何完成对我们网络的攻击或行动。其中一些示例包括IP地址、域名和电子邮件地址。在大多数攻击情况下,我们想知道这些实体是如何被拥有的(受攻击的第三方或实际的攻击者),但这可能被证明是非常困难的。
受害者
这些信息包括网络资产、电子邮件地址、被攻击的人以及参与攻击的数据。
如图2所示,理想情况下,我们希望使用Lockheed Martin Kill链将特定事件链接在一起(称为活动线程),以启用某些活动的分组。这里的目标是在活动线程之间的Kill链中的事件之间建立链接关系。