曾經(jīng)栅组,安全分析被認為是一種藝術,而不是科學枢析。這無疑有其合理性玉掸,攻防對抗最終是人的對抗、情報能力的對抗醒叁,所有的知識快速變化司浪,從其中要總結過程方法或者基本原則,總是讓人有緣木求魚之感把沼。但這必然阻礙了安全分析技術的進步以及對惡意活動更全面的理解啊易,同時也阻礙了采用高效、準確的安全分析進行威脅處置的進程(雖然這應該是現(xiàn)階段的必然之選)饮睬。
鉆石模型(The Diamond Model)是針對以上挑戰(zhàn)提出的一個分析模型租谈,Sergio Caltagirone等數(shù)位專家提出這個模型,是期望據(jù)此可以降低防衛(wèi)者的付出续捂,而增加攻擊者的成本垦垂。 它提供了一個方法,如何將情報集成到分析平臺中牙瓢,基于攻擊者的活動來進行事件的關聯(lián)劫拗、分類,并進行預測矾克,同時計劃和實施威脅處置策略页慷。
一、基本元素
模型建立的基本元素是入侵活動事件(Event),每個事件都有四個核心特征:對手酒繁、能力滓彰、基礎設施及受害者。這些功能通過連線來代表它們之間的關系州袒,并布置成菱形揭绑,因此得名“鉆石模型”。事件元素中還包括元特征郎哭、置信度他匪,以及擴展特征(社會-政治、技術能力)夸研。
關于對手的知識一般情況下難以掌握邦蜜,特別是在剛發(fā)現(xiàn)的時候,這時候會簡單的將對手的活動當作對手亥至。但分清楚兩者在某些情況下(如:APT)是非常重要的悼沈,有利于了解其目的、歸屬姐扮、適應性和持久性絮供。
功能特征描述事件中使用的工具或者技術∪芪眨可以包括最原始的手工方法杯缺,也可以是高度復雜的自動化攻擊,所有已披露的漏洞應該屬于其一部分睡榆。
基礎設施描述攻擊者用來遞送能力的物理或邏輯結構萍肆,如:IP地址、域名胀屿、郵件地址塘揣、或者某個USB設備等∷拚福基礎設施有兩種類型亲铡,攻擊者完全控制及擁有的,另一類是短時間控制的葡兑,如僵尸主機奖蔓、惡意網(wǎng)址、攻擊跳躍點讹堤、失陷的賬號等等吆鹤,它們很可能會混淆惡意活動的起源和歸屬。
受害者的身份和資產(chǎn)在不同的分析中都非常有用洲守,受害者或社會-政治為支點的安全分析(參見下節(jié))中受害者身份作用重大疑务,而脆弱性評估必然和資產(chǎn)相關沾凄。資產(chǎn)同時可能是攻擊面或最終目標。
二知允、支點分析
支點(Pivoting)指提取一個元素撒蟀,并利用該元素,與數(shù)據(jù)源相結合温鸽,以發(fā)現(xiàn)相關元素的分析技術保屯。分析中可以隨時變換支點,四個核心特征以及兩個擴展特征(社會政治嗤朴、技術)都可能成為當時的分析支點配椭。典型的分析實例如下圖:
三虫溜、關聯(lián)分析和預測
在鉆石模型中雹姊,分析依賴的主要是活動線(Activity Threads)以及活動-攻擊圖(Activity-Attack Graphs)『饫悖活動線和Kill-Chain緊密結合吱雏,描述了對一個特定受害者執(zhí)行的惡意活動,可以支持假設事件瘾境,也可以利用水平分組來獲得不同活動線之間的相關性歧杏。
而通過活動線和面面俱到列舉攻擊對手可能路徑的攻擊樹進行疊加,不但保持了兩種圖形的信息迷守,同時更突出了攻擊者的喜好犬绒,并考慮到對手的反應及替代戰(zhàn)術,從而得到更好的應對策略兑凿;同時也可以是正在進行的事件調(diào)查更準確凯力,更快的生成假設。
四礼华、小結
鉆石模型通過對模型元素的定義咐鹤,比較清楚的刻畫了安全分析過程中對威脅情報不同類型指標的需求;同時利用支點(Pivoting)分析圣絮,總結了過去一些典型的概念方法祈惶;最后整合安全評估和威脅情報的活動-攻擊圖更是一個值得嘗試的方法。
