ダイアモンドモデル
ダイアモンドモデルについて
CEH v12では、ダイアモンドモデル、の内容が追加されている、とのことだった。
侵入を分析し、記述する方法らしいので、まとめておく。
2013年に発表された「Diamond Model of Intrusion Analysis」という論文がもとになっている。
Adversary,Infrastructure,Capability,Victimという4つの要素からなり、その要素間に「イベント」を定義して、分析していくモデル。
diamond-model.pdf (threatintel.academy) から引用
具体的なマルウェアの感染例の図。
diamond-model.pdf (threatintel.academy) から引用
イベントをCyber Kill Chainのフェーズ上にプロットして、「アクティビティスレッド」として表現したものが以下になる。
という感じで、ミクロモデルとして、インシデントの表現方法としてのダイアモンドモデル、という捉え方以外にも、グラフ化して過去の事例を検索しやすくする試みも。
https://www.ipsj.or.jp/award/9faeag0000004f4v-att/L-015.pdf
マクロモデルとして、インシデントの概要を示すためにも使用される。
一番分かりやすい例は、スターウォーズを題材にしたこちら。
引用:https://threatconnect.com/blog/diamond-model-threat-intelligence-star-wars/
攻撃者がルークで、X-WINGに乗って、ブラスターやフォースという能力を用いて、デススターが被害者になっているのが面白い。モチベーションは復習で、攻撃手法はフォースによる操縦とコミュニケーション。
インシデントの表現では、被害者・攻撃者どちらかに偏りがちになってしまうが、ダイアモンドモデルでは、俯瞰的に表現できるのが良いと思う。
