Diamond Model de Análisis de Intrusiones
¿Qué es Diamond Model de Análisis de Intrusiones?
Diamond Model de Análisis de IntrusionesMarco de análisis de intrusiones que vincula cada evento malicioso a cuatro vértices: adversario, capacidad, infraestructura y víctima.
El Diamond Model de Análisis de Intrusiones, presentado por Caltagirone, Pendergast y Betz en 2013, representa cada evento malicioso como un diamante que conecta cuatro elementos: Adversario, Capacidad (herramientas, malware, TTPs), Infraestructura (IPs, dominios, C2) y Víctima. Meta-atributos como marca temporal, fase, resultado, dirección, metodología y recursos enriquecen cada evento. Los analistas pivotan entre vértices para enumerar actividad relacionada: por ejemplo, de un dominio a otros registrados por el mismo adversario, o de un hash de capacidad a otras víctimas afectadas. El modelo complementa a MITRE ATT&CK y a la Cyber Kill Chain al hacer explícitas las relaciones, y se usa de forma extendida en plataformas de threat intelligence, informes de análisis de intrusiones y flujos de pivot estructurado.
● Ejemplos
- 01
Pivotar desde una muestra de malware (capacidad) a un dominio registrado (infraestructura) para mapear una campaña más amplia.
- 02
Vincular varios incidentes al mismo cluster Adversario por TTPs compartidos y victimología.
● Preguntas frecuentes
¿Qué es Diamond Model de Análisis de Intrusiones?
Marco de análisis de intrusiones que vincula cada evento malicioso a cuatro vértices: adversario, capacidad, infraestructura y víctima. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Diamond Model de Análisis de Intrusiones?
Marco de análisis de intrusiones que vincula cada evento malicioso a cuatro vértices: adversario, capacidad, infraestructura y víctima.
¿Cómo funciona Diamond Model de Análisis de Intrusiones?
El Diamond Model de Análisis de Intrusiones, presentado por Caltagirone, Pendergast y Betz en 2013, representa cada evento malicioso como un diamante que conecta cuatro elementos: Adversario, Capacidad (herramientas, malware, TTPs), Infraestructura (IPs, dominios, C2) y Víctima. Meta-atributos como marca temporal, fase, resultado, dirección, metodología y recursos enriquecen cada evento. Los analistas pivotan entre vértices para enumerar actividad relacionada: por ejemplo, de un dominio a otros registrados por el mismo adversario, o de un hash de capacidad a otras víctimas afectadas. El modelo complementa a MITRE ATT&CK y a la Cyber Kill Chain al hacer explícitas las relaciones, y se usa de forma extendida en plataformas de threat intelligence, informes de análisis de intrusiones y flujos de pivot estructurado.
¿Cómo defenderse de Diamond Model de Análisis de Intrusiones?
Las defensas contra Diamond Model de Análisis de Intrusiones combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
● Términos relacionados
- defense-ops№ 265
Cyber Kill Chain
Modelo de siete fases de Lockheed Martin que describe cómo progresa una intrusión dirigida desde el reconocimiento hasta las acciones sobre los objetivos.
- compliance№ 687
MITRE ATT&CK
Base de conocimiento global y abierta de tácticas y técnicas de adversarios observadas en ataques reales, mantenida por MITRE.
- defense-ops№ 266
Inteligencia de Amenazas (CTI)
Conocimiento basado en evidencia sobre los adversarios, sus motivaciones y métodos, utilizado para guiar las decisiones defensivas y priorizar controles.
- defense-ops№ 1131
Tácticas, Técnicas y Procedimientos (TTPs)
Descripción por capas de cómo opera un actor de amenazas: tácticas (el porqué), técnicas (el cómo) y procedimientos (la implementación concreta).
- defense-ops№ 527
Indicador de Compromiso (IoC)
Artefacto observable —como un hash, IP, dominio, URL o clave de registro— que sugiere que un sistema ha sido o está siendo comprometido.
- defense-ops№ 057
Grupo APT
Actor de amenaza con nombre y seguimiento (habitualmente patrocinado por un Estado) que ejecuta campanas dirigidas, prolongadas y bien recursos contra organizaciones o sectores concretos.
● Véase también
- № 1201Framework VERIS