Diamond Model de Análise de Intrusões
O que é Diamond Model de Análise de Intrusões?
Diamond Model de Análise de IntrusõesFramework de análise de intrusões que liga cada evento malicioso a quatro vértices: adversário, capacidade, infraestrutura e vítima.
O Diamond Model de Análise de Intrusões, apresentado por Caltagirone, Pendergast e Betz em 2013, representa cada evento malicioso como um diamante que liga quatro elementos: Adversário, Capacidade (ferramentas, malware, TTPs), Infraestrutura (IPs, domínios, C2) e Vítima. Meta-características como timestamp, fase, resultado, direção, metodologia e recursos enriquecem cada evento. Os analistas pivotam entre os vértices para enumerar atividade relacionada — por exemplo, de um domínio para outros registados pelo mesmo adversário, ou de um hash de capacidade para outras vítimas. O modelo complementa o MITRE ATT&CK e a Cyber Kill Chain ao explicitar relações, sendo amplamente usado em plataformas de threat intelligence, relatórios de análise de intrusões e fluxos de pivot estruturado.
● Exemplos
- 01
Pivotar de uma amostra de malware (capacidade) para um domínio registado (infraestrutura) para mapear uma campanha mais ampla.
- 02
Ligar vários incidentes ao mesmo cluster Adversário com base em TTPs partilhados e vitimologia.
● Perguntas frequentes
O que é Diamond Model de Análise de Intrusões?
Framework de análise de intrusões que liga cada evento malicioso a quatro vértices: adversário, capacidade, infraestrutura e vítima. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Diamond Model de Análise de Intrusões?
Framework de análise de intrusões que liga cada evento malicioso a quatro vértices: adversário, capacidade, infraestrutura e vítima.
Como funciona Diamond Model de Análise de Intrusões?
O Diamond Model de Análise de Intrusões, apresentado por Caltagirone, Pendergast e Betz em 2013, representa cada evento malicioso como um diamante que liga quatro elementos: Adversário, Capacidade (ferramentas, malware, TTPs), Infraestrutura (IPs, domínios, C2) e Vítima. Meta-características como timestamp, fase, resultado, direção, metodologia e recursos enriquecem cada evento. Os analistas pivotam entre os vértices para enumerar atividade relacionada — por exemplo, de um domínio para outros registados pelo mesmo adversário, ou de um hash de capacidade para outras vítimas. O modelo complementa o MITRE ATT&CK e a Cyber Kill Chain ao explicitar relações, sendo amplamente usado em plataformas de threat intelligence, relatórios de análise de intrusões e fluxos de pivot estruturado.
Como se defender contra Diamond Model de Análise de Intrusões?
As defesas contra Diamond Model de Análise de Intrusões costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
● Termos relacionados
- defense-ops№ 265
Cyber Kill Chain
Modelo em sete fases da Lockheed Martin que descreve como uma intrusão direcionada evolui do reconhecimento até as ações sobre os objetivos.
- compliance№ 687
MITRE ATT&CK
Base de conhecimento global e aberta sobre táticas e técnicas de adversários observadas em ataques reais, mantida pela MITRE.
- defense-ops№ 266
Inteligência de Ameaças Cibernéticas (CTI)
Conhecimento baseado em evidências sobre adversários, suas motivações e métodos, utilizado para informar decisões defensivas e priorizar controles.
- defense-ops№ 1131
Táticas, Técnicas e Procedimentos (TTPs)
Descrição em camadas de como um ator de ameaça opera: táticas (o porquê), técnicas (o como) e procedimentos (a implementação específica).
- defense-ops№ 527
Indicador de Comprometimento (IoC)
Artefato observável — como hash, IP, domínio, URL ou chave de registro — que indica que um sistema foi ou está sendo comprometido.
- defense-ops№ 057
Grupo APT
Ator de ameaca identificado e rastreado (geralmente apoiado por um Estado) que conduz campanhas direcionadas, prolongadas e bem financiadas contra organizacoes ou setores especificos.
● Veja também
- № 1201Framework VERIS