El
Modelo DIAMOD
sirve para describir relaciones de alto nivel entre Adversarios, sus
Capacidades, Infraestructura y Víctimas de intrusiones. Si bien el modelo de
diamante se usa más comúnmente con intrusiones únicas y aprovechando el
subproceso de actividad como una forma de crear relaciones entre incidentes,
un enfoque centrado en el adversario permite crear un diamante, aunque
desordenado.
El Modelo Diamante establece el evento como el elemento más básico de
cualquier actividad maliciosa y se compone de cuatro características
principales: el adversario, la víctima, la infraestructura y la capacidad.
Toda actividad maliciosa contiene estas características (como lo establece el
Axioma 1). Por lo tanto, cualquier búsqueda (cacería) se basa en última
instancia en estas características y enfoques.
Adversario
Un adversario es cualquiera que busque comprometer sus sistemas o redes para
promover su progreso hacia los objetivos. La definición es deliberadamente
amplia para reflejar el hecho de que un adversario podría ser una persona
interna maliciosa, un actor de amenaza externo, un grupo de amenaza o incluso
una organización. Al momento de descubrir inicialmente cualquier evento de
intrusión, es poco probable que sepas quién es el adversario.
Capacidad
Una capacidad es una herramienta/técnica desplegada por un adversario en un
evento. Las capacidades potenciales utilizadas por varios adversarios son casi
infinitas, pero algunos ejemplos incluyen adivinar contraseñas por fuerza
bruta, instalar puertas traseras para establecer comando y control, etc.
Infraestructura
La infraestructura no es la infraestructura de su entorno de TI. Más bien, el
término se relaciona con las estructuras de comunicación que los delincuentes
informáticos utilizan para ofrecer sus capacidades. Los ejemplos incluyen
nombres de dominio, dispositivos USB, cuentas comprometidas, servidores de
almacenamiento de malware, etc.
Víctima
La víctima es el objetivo de un adversario contra el que pretende utilizar sus
capacidades. El modelo establece que una víctima no siempre tiene que ser una
persona o una empresa; podría ser una dirección de correo electrónico o un
dominio.
Dada esta gama de posibilidades, puede ser más granular al definir a las
víctimas dividiéndolas en personas de la víctima (personas, empresas) y
activos de la víctima (la superficie de ataque que abarca todos los activos de
TI contra los cuales un adversario puede usar capacidades).
MITRE ATT&CK
El framework de MITRE ATT&CK se utiliza para documentar Tácticas, Técnicas y Procedimientos (TTP)
comunes utilizan las amenazas avanzadas contra redes empresariales.
Tacticas
Las Tácticas representan el por qué de una técnica o subtécnica. Es el
objetivo táctico del adversario: el motivo de realizar una acción.
Technicas
Las Técnicas representan cómo un adversario logra un objetivo táctico al
realizar una acción.
- User Execution: Malicious File
- Command and Scripting Interpreter: Python
- Command and Scripting Interpreter: Unix Shell
- Hijack Execution Flow
- Deobfuscate/Decode Files or Information
- Hide Artifacts: Hidden Files and Directories
- Indicator Removal: File Deletion
- Masquerading: Match Legitimate Name or Location
- Obfuscated Files or Information: Software Packing
- Reflective Code Loading
- File and Directory Discovery
- Process Discovery
- System Information Discovery
- Archive Collected Data: Archive via Custom Method
- Local Data Staging
- Application Layer Protocol: Web Protocols
- Fallback Channels
- Ingress Tool Transfer
- Exfiltration Over C2 Channel
Fuente:
Active Response
|
Elastic.co
Los comentarios están cerrados.