Diamond Model анализа вторжений
Что такое Diamond Model анализа вторжений?
Diamond Model анализа вторженийАналитическая модель, связывающая каждое вредоносное событие с четырьмя вершинами: противник, средства, инфраструктура и жертва.
Diamond Model of Intrusion Analysis, представленная Caltagirone, Pendergast и Betz в 2013 году, описывает каждое вредоносное событие как «алмаз», соединяющий четыре ключевых элемента: Adversary (противник), Capability (средства — инструменты, вредоносное ПО, TTP), Infrastructure (инфраструктура — IP, домены, C2) и Victim (жертва). Мета-атрибуты — временная метка, фаза, результат, направление, методология, ресурсы — обогащают каждое событие. Аналитики «пивотируют» между вершинами, чтобы перечислить связанную активность: например, от одного домена к другим доменам того же противника или от хэша инструмента к другим жертвам. Модель дополняет MITRE ATT&CK и Cyber Kill Chain тем, что явно моделирует связи, и широко применяется в платформах киберразведки, отчётах об анализе вторжений и структурированных pivot-процессах.
● Примеры
- 01
Pivot от образца вредоносного ПО (capability) к зарегистрированному домену (infrastructure) для построения более широкой кампании.
- 02
Связывание нескольких инцидентов с одним кластером Adversary по общим TTP и виктимологии.
● Частые вопросы
Что такое Diamond Model анализа вторжений?
Аналитическая модель, связывающая каждое вредоносное событие с четырьмя вершинами: противник, средства, инфраструктура и жертва. Относится к категории Защита и операции в кибербезопасности.
Что означает Diamond Model анализа вторжений?
Аналитическая модель, связывающая каждое вредоносное событие с четырьмя вершинами: противник, средства, инфраструктура и жертва.
Как работает Diamond Model анализа вторжений?
Diamond Model of Intrusion Analysis, представленная Caltagirone, Pendergast и Betz в 2013 году, описывает каждое вредоносное событие как «алмаз», соединяющий четыре ключевых элемента: Adversary (противник), Capability (средства — инструменты, вредоносное ПО, TTP), Infrastructure (инфраструктура — IP, домены, C2) и Victim (жертва). Мета-атрибуты — временная метка, фаза, результат, направление, методология, ресурсы — обогащают каждое событие. Аналитики «пивотируют» между вершинами, чтобы перечислить связанную активность: например, от одного домена к другим доменам того же противника или от хэша инструмента к другим жертвам. Модель дополняет MITRE ATT&CK и Cyber Kill Chain тем, что явно моделирует связи, и широко применяется в платформах киберразведки, отчётах об анализе вторжений и структурированных pivot-процессах.
Как защититься от Diamond Model анализа вторжений?
Защита от Diamond Model анализа вторжений обычно сочетает технические меры и операционные практики, как описано в определении выше.
● Связанные термины
- defense-ops№ 265
Cyber Kill Chain
Семиэтапная модель Lockheed Martin, описывающая, как целевая атака развивается от разведки до действий на цели.
- compliance№ 687
MITRE ATT&CK
Глобально доступная база знаний о тактиках и техниках противников, наблюдаемых в реальных атаках, поддерживаемая MITRE.
- defense-ops№ 266
Киберразведка угроз (CTI)
Основанное на доказательствах знание о противниках, их мотивах и методах, используемое для принятия защитных решений и приоритизации мер контроля.
- defense-ops№ 1131
Тактики, техники и процедуры (TTP)
Многоуровневое описание поведения злоумышленника: тактики (зачем), техники (как) и процедуры (конкретная реализация).
- defense-ops№ 527
Индикатор компрометации (IoC)
Наблюдаемый артефакт — хэш файла, IP, домен, URL, ключ реестра, — указывающий на то, что система была или находится в процессе компрометации.
- defense-ops№ 057
APT-группа
Именованный и отслеживаемый субъект угроз (как правило, при государственной поддержке), ведущий целенаправленные, длительные и обеспеченные кампании против отдельных организаций или отраслей.
● См. также
- № 1201Фреймворк VERIS