El Modelo DIAMOD sirve para describir relaciones de alto nivel entre Adversarios, sus Capacidades, Infraestructura y Víctimas de intrusiones. Si bien el modelo de diamante se usa más comúnmente con intrusiones únicas y aprovechando el subproceso de actividad como una forma de crear relaciones entre incidentes, un enfoque centrado en el adversario permite crear un diamante, aunque desordenado.
El Modelo Diamante establece el evento como el elemento más básico de cualquier actividad maliciosa y se compone de cuatro características principales: el adversario, la víctima, la infraestructura y la capacidad. Toda actividad maliciosa contiene estas características (como lo establece el Axioma 1). Por lo tanto, cualquier búsqueda (cacería) se basa en última instancia en estas características y enfoques.
Adversario
Un adversario es cualquiera que busque comprometer sus sistemas o redes para promover su progreso hacia los objetivos. La definición es deliberadamente amplia para reflejar el hecho de que un adversario podría ser una persona interna maliciosa, un actor de amenaza externo, un grupo de amenaza o incluso una organización. Al momento de descubrir inicialmente cualquier evento de intrusión, es poco probable que sepas quién es el adversario.
Capacidad
Una capacidad es una herramienta/técnica desplegada por un adversario en un evento. Las capacidades potenciales utilizadas por varios adversarios son casi infinitas, pero algunos ejemplos incluyen adivinar contraseñas por fuerza bruta, instalar puertas traseras para establecer comando y control, etc.
Infraestructura
La infraestructura no es la infraestructura de su entorno de TI. Más bien, el término se relaciona con las estructuras de comunicación que los delincuentes informáticos utilizan para ofrecer sus capacidades. Los ejemplos incluyen nombres de dominio, dispositivos USB, cuentas comprometidas, servidores de almacenamiento de malware, etc.
Víctima
La víctima es el objetivo de un adversario contra el que pretende utilizar sus capacidades. El modelo establece que una víctima no siempre tiene que ser una persona o una empresa; podría ser una dirección de correo electrónico o un dominio.
Dada esta gama de posibilidades, puede ser más granular al definir a las víctimas dividiéndolas en personas de la víctima (personas, empresas) y activos de la víctima (la superficie de ataque que abarca todos los activos de TI contra los cuales un adversario puede usar capacidades).
MITRE ATT&CK
El framework de MITRE ATT&CK se utiliza para documentar Tácticas, Técnicas y Procedimientos (TTP) comunes utilizan las amenazas avanzadas contra redes empresariales.
Tacticas
Las Tácticas representan el por qué de una técnica o subtécnica. Es el objetivo táctico del adversario: el motivo de realizar una acción.
Technicas
Las Técnicas representan cómo un adversario logra un objetivo táctico al realizar una acción.
- User Execution: Malicious File
- Command and Scripting Interpreter: Python
- Command and Scripting Interpreter: Unix Shell
- Hijack Execution Flow
- Deobfuscate/Decode Files or Information
- Hide Artifacts: Hidden Files and Directories
- Indicator Removal: File Deletion
- Masquerading: Match Legitimate Name or Location
- Obfuscated Files or Information: Software Packing
- Reflective Code Loading
- File and Directory Discovery
- Process Discovery
- System Information Discovery
- Archive Collected Data: Archive via Custom Method
- Local Data Staging
- Application Layer Protocol: Web Protocols
- Fallback Channels
- Ingress Tool Transfer
- Exfiltration Over C2 Channel
Fuente: Active Response | Elastic.co