Diamond Model анализа вторжений
Что такое Diamond Model анализа вторжений?
Diamond Model анализа вторженийАналитическая модель, связывающая каждое вредоносное событие с четырьмя вершинами: противник, средства, инфраструктура и жертва.
Diamond Model of Intrusion Analysis, представленная Caltagirone, Pendergast и Betz в 2013 году, описывает каждое вредоносное событие как «алмаз», соединяющий четыре ключевых элемента: Adversary (противник), Capability (средства — инструменты, вредоносное ПО, TTP), Infrastructure (инфраструктура — IP, домены, C2) и Victim (жертва). Мета-атрибуты — временная метка, фаза, результат, направление, методология, ресурсы — обогащают каждое событие. Аналитики «пивотируют» между вершинами, чтобы перечислить связанную активность: например, от одного домена к другим доменам того же противника или от хэша инструмента к другим жертвам. Модель дополняет MITRE ATT&CK и Cyber Kill Chain тем, что явно моделирует связи, и широко применяется в платформах киберразведки, отчётах об анализе вторжений и структурированных pivot-процессах.
● Примеры
- 01
Pivot от образца вредоносного ПО (capability) к зарегистрированному домену (infrastructure) для построения более широкой кампании.
- 02
Связывание нескольких инцидентов с одним кластером Adversary по общим TTP и виктимологии.
● Частые вопросы
Что такое Diamond Model анализа вторжений?
Аналитическая модель, связывающая каждое вредоносное событие с четырьмя вершинами: противник, средства, инфраструктура и жертва. Относится к категории Защита и операции в кибербезопасности.
Что означает Diamond Model анализа вторжений?
Аналитическая модель, связывающая каждое вредоносное событие с четырьмя вершинами: противник, средства, инфраструктура и жертва.
Как защититься от Diamond Model анализа вторжений?
Защита от Diamond Model анализа вторжений обычно сочетает технические меры и операционные практики, как описано в определении выше.