Importanza del Diamond Model per la Cyber Threat Intelligence

Il Diamond Model di Analisi delle Intrusioni, scritto da Sergio Caltagirone, Andy Pendergast (co-fondatore ed EVP di Prodotti presso ThreatConnect) e Christopher Betz, rappresenta una pietra angolare nell’artigianato delle Threat Intelligence informatiche. È stato pubblicato nel 2013 in quello che ritengo essere uno dei periodi più costruttivi della sicurezza informatica, quando sono stati sviluppati anche altri importanti quadri e metodologie come VERIS nel 2010, la Cyber Kill Chain nel 2011 e MITRE ATT&CK nel 2013 (e il NIST CSF se ci estendiamo al 2014).

Cos’è il Diamond Model?

The Diamond Model è un processo per documentare, analizzare e correlare intrusioni da parte di attori minacciosi negli ambienti di un’organizzazione (rete, digitale, fisico). Appare piuttosto semplice, il che facilita la comprensione, ma è estremamente potente. Il Diamond Model, quando messo in pratica, “…è un quadro matematico che consente l’applicazione di teorie di gioco, grafi e classificazione/clustering per migliorare l’analisi e la presa di decisioni” (p.5). Ciò gli permette di essere adattabile, flessibile ed estensibile secondo necessità.

Il modello definisce quattro “elementi atomici” – avversario, infrastruttura, capacità e vittima. La connessione visuale dei bordi forma un diamante. Ci sono anche meta-caratteristiche (evento, minaccia e gruppo) che supportano la messa in pratica del modello in varie situazioni, come la capacità di collegare eventi in “filoni di attività” e filoni in “gruppi di attività”.

Applicazione del Diamond Model alla Cyber Threat Intel

Il Diamond Model viene utilizzato per descrivere i comportamenti threat actor. Il comportamento tipico è che un threat actor (detto anche avversario) “…dispiega una capacità su qualche infrastruttura contro una vittima” (p.7). Questo è ciò a cui il modello si riferisce come eventi. Un analista di intelligence sulle minacce informatiche (CTI) raccoglie ed analizza gli eventi, popolando gli elementi atomici (Avversario, Infrastruttura, Capacità e Vittima) con quei dettagli. Attraverso l’analisi di queste informazioni, un analista CTI acquisisce una comprensione più ampia del threat actor e del suo modo di operare.

Gli eventi possono essere ordinati poiché i threat actor non compiono azioni in isolamento, ma piuttosto seguono una serie di passi per raggiungere i loro obiettivi. I filoni di attività vengono costruiti come coppie avversario-vittima e, combinati agli eventi, forniscono informazioni sui comportamenti dei threat actor e sulle azioni preventive o reattive più appropriate. Infine, gli eventi possono essere correlati tra i filoni di attività. Una delle utilità di questa caratteristica del modello, ma certamente non l’unica, è che può fornire ulteriori informazioni sui threat actor, rivelando campagne più ampie e identificando relazioni tra altri eventi e minacce. Può anche evidenziare filoni di attività comuni o simili utilizzati in campagne nel tempo o da attori completamente diversi.

Il Diamond Model delinea davvero come un analista CTI svolge il proprio lavoro a partire dalle informazioni raccolte. Va oltre la funzione di aggregare, elaborare e distribuire indicatori (è possibile leggere di più nel mio blog qui). Agevola l’analisi sistematica dell’intelligence per costruire una comprensione di cluster di elementi specifici dell’attività di intrusione, comunemente utilizzati per creare profili dei comportamenti dei threat actor e per individuare le relazioni tra le informazioni per espandere la portata di tale conoscenza. Tutto questo è finalizzato a essere adeguatamente abilitati ad agire per rendere più difficile per il threat actor di attaccare un’organizzazione, ad esempio, avanzando nella  Pyramid of Pain con le capacità di rilevamento e protezione.

Come ThreatConnect sfrutta il Diamond Model

La piattaforma ThreatConnect TI Ops è il percorso più semplice per sfruttare il Diamond Model perché i dati e le analisi della piattaforma sono direttamente costruiti sui concetti del Diamond Model. Ciò facilita l’avvio e l’implementazione pratica del modello.

Alcuni esempi di come la piattaforma ThreatConnect sfrutta il Diamond Model includono:

1. Il modello dati di ThreatConnect: esso è esposto agli utenti tramite la schermata di navigazione e il Threat Graph e ha mappature agli elementi atomici del Diamond Model. Gruppi (ad esempio, Avversari, Campagne, Set di Intrusione, Malware, ecc.) all’interno di ThreatConnect fungono efficacemente da contenitori per il clustering di indicatori, tecniche e altri elementi correlati attraverso funzioni di raggruppamento come previsto dal Diamond Model.

Questi esempi illustrano come ThreatConnect integri il Diamond Model nella propria piattaforma, fornendo agli utenti uno strumento che riflette e facilita l’applicazione di questo modello per analizzare e comprendere le minacce informatiche.

The Browse Screen

Le associazioni vengono utilizzate per collegare i punti dati dell’intelligence sulle minacce, mostrando le loro relazioni, il che può essere fatto manualmente dagli analisti o automaticamente attraverso le analisi nella piattaforma.

Tabella delle Associazioni

La capacità di ruotare sui dati consente agli utenti di esplorare altri punti dati di intelligence sulle minacce, scoprire ulteriori relazioni e ampliare la loro conoscenza di un attore minaccioso o avversario. Questo può essere fatto anche in modo visuale e interattivo tramite la funzione Threat Graph o programmato tramite la nostra API.

Threat Graph

Articolo originale

Tour virtuale del Diamond Model

 

Foto di Daniele Levis Pelusi su Unsplash

PUBBLICATO DA:<br>Sara Guglielmi
PUBBLICATO DA:
Sara Guglielmi
Marketing

ARTICOLI CORRELATI