几种威胁情报/分析模型整理

=Start=

缘由:

收集整理一下常见的几种威胁分析框架/模型相关的文档、资料,方便以后参考。

正文:

参考解答:
钻石模型 (Diamond Model)

钻石模型(Diamond Mode)是由Sergio Caltagirone、Andrew Pendergast、Christopher Betz在2013年论文《The Diamond Model of Intrusion Analysis》中提出的一个针对网络入侵攻击的分析框架模型,英文原文是:The Diamond Model。

钻石模型认为,不论何种入侵活动,其基本元素都是一个个的事件(Event),而每个事件都由以下四个核心特征组成:对手(adversary)、能力(capability)、基础设施(infrastructure)和受害者(victim)。四个核心特征间用连线表示相互间的基本关系,并按照菱形排列,从而形成类似“钻石”形状的结构,因此得名为“钻石模型”。同时,模型还定义了社会-政治关系(对手和受害者之间的)和技术能力(用于确保能力和基础设施可操作性的)两个重要的扩展元特征。

因此,可以将每个事件理解为对“对手在哪些基础设施上部署哪些针对受害者的入侵攻击能力”的结构化描述。在分析时,分析人员可运用转轴(Pivoting,也有翻译为“支点”)分析,提取单一的元特征作为起点,借助情报、告警等可观测数据源,结合对元特征间关系的理解和分析,进而发现其他相关的元特征,获取更多的关于对手的情报,发现新的攻击能力、已经/可能被攻击的基础设施和受害者(包括潜在受害者)。

杀伤链模型(Kill Chain)

Kill Chain是美国洛克希德-马丁公司于2013年前后借鉴军事领域“杀伤链”概念提出的网络入侵攻击杀伤链模型。

Kill Chain模型从攻击者的角度出发,将攻击者的网络入侵攻击行为过程进行分段式的任务描述,从而形成一个完整的“杀伤链条”:

  • 1)侦察追踪:寻找可能的目标,并追踪目标动态;
  • 2)武器构建:将恶意软件放入有效的载荷(如Adobe PDF和Microsoft Office文件)中,确定攻击方式,完成攻击准备;
  • 3)载荷投递:有针对性地将武器(恶意代码)输送至目标环境内(如通过邮件附件、网站或者USB驱动器);
  • 4)突防利用:利用漏洞或缺陷触发恶意代码,并获得系统控制权限;
  • 5)安装植入:植入恶意程序及后门,保证恶意程序的存活,持续保持控制权限;
  • 6)通信控制:与外部C2服务器建立通信连接,并用Web、DNS、邮件等协议来隐藏通信通道;
  • 7)达成目标:开展直接的入侵攻击行为,窃取数据、破坏系统运行,或者在内部网络进一步横向移动。

Kill Chain模型做到了从攻击者视角对外部威胁和入侵攻击行为进行解析和描述。根据这个链条,防护者可以针对性地构建一个以威胁情报为基础的纵深防御体系,以做到快速发现外部威胁,精准切断链条的关键节点,阻止甚至反制攻击者的入侵攻击行为。

目前,Kill Chain模型已被应用于STIX 2.0标准中。ATT&CK可看作是Kill Chain模型中针对后四个环节的加强版知识框架。

对抗性的策略、技巧和常识(ATT&CK)

ATT&CK是美国MITRE机构提出的一套知识库模型和框架,全称为:Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK™)。

ATT&CK在洛克希德-马丁公司的“Kill Chain”模型(将网络入侵攻击分为七个阶段)基础上,对更具可观测性的后四个阶段中的攻击者行为,构建一套更细粒度、更易共享的知识模型和框架,并通过不断积累,形成一套由政府、公共服务企业、私营企业和学术机构共同参与和维护的网络对手行为知识库,以指导用户采取针对性的检测、防御和响应工作。

ATT&CK已提供了一个策略及执行技术矩阵,其中包含有11个策略类别,每个策略类别对应攻击者执行技术列表(即攻击者可采用哪些技术手段执行此项入侵攻击策略),并针对每项技术提供更细粒度的技术描述、指示器、有效的防御传感器数据、检测分析信息和可能的应对措施等知识模型结构。

 

参考链接:

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/4258.html

《几种威胁情报/分析模型整理》上有1条评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注