Diamond model in cybersecurity Rberny 2023

Modelo Diamante y MITRE ATT&CK – Ciberseguridad Avanzada

Cualquier intrusión en una red requiere un análisis exhaustivo para brindar a los equipos de seguridad inteligencia cibernética sobre diferentes amenazas y para ayudar a frustrar ataques futuros similares. Sin embargo, el análisis efectivo de incidentes se ha visto frenado durante mucho tiempo por la incertidumbre y las altas tasas de falsos positivos en los sistemas de detección de intrusos que conducen a una mitigación lenta de las amenazas.

¿Qué es el modelo de diamante de análisis de intrusión?

El modelo de diamante de análisis de intrusión se basa en la idea de que cada ataque cibernético resulta de un adversario que usa alguna capacidad para atacar a su víctima a través de la infraestructura, los vértices del diamante que dan nombre a este modelo son las cuatro características esenciales de un ataque:

  1. Adversario.
  2. Capacidad.
  3. Infraestructura.
  4. Víctima.

Adversario:

Un adversario es una organización o actor de amenazas que utiliza una capacidad contra una víctima para lograr sus objetivos, también conocido como el mal actor o hacker en incidentes de ciberseguridad.

Capacidad:

Las herramientas técnicas, estrategias y procedimientos utilizados por un oponente en un evento se conocen como capacidades, estos podrían ser ataques de phishing, suplantación de marca, ingeniera social, etc.

Infraestructura:

La infraestructura se refiere a las estructuras de comunicación físicas o lógicas utilizadas por un adversario para proporcionar, entregar, implementar, controlar su capacidad de infraestructura, como direcciones IP o de correo electrónico, nombres de dominio, publicaciones falsas en tiendas de aplicaciones, dominios de sitios web, en incidentes de ciberseguridad, etc.

Víctima:

Organizaciones, personas y otros activos contra los cuales el adversario ha lanzado la campaña para explotar sus vulnerabilidades, por ende, tiene sus vulnerabilidades ya explotadas o tiene capacidades utilizadas en su contra, las organizaciones, las personas o los activos, las direcciones de correo electrónico o IP, los nombres de dominio, se trata de información confidencial como PII (información de identificación personal) o información de cuentas financieras, etc., pueden ser sus objetivos.

Si bien los bordes, entre ellos describen las relaciones entre los cuatro vértices, les recomiendo considerar que el adversario usa su infraestructura para atacar a la víctima, existen vínculos directos entre la infraestructura del oponente y la víctima, sin embargo, debido a que un adversario y una víctima rara vez se enfrentan directamente, estos vértices no están vinculados en la mayoría de las circunstancias.

Más allá de las cuatro cualidades principales, se deben incluir seis a ocho metas características en cada ataque cibernético que ocurra en el sistema de una víctima, estos proporcionan más antecedentes y detalles sobre un suceso en particular, considero que ciertas características y meta características pueden ser desconocidas al comienzo de una investigación, y el intento de llenar estos vacíos es lo que motiva y dirige la investigación.

¿Por qué el modelo diamante de análisis de intrusión?

Por qué ayuda a los analistas a identificar un grupo de eventos que ocurrieron en sus sistemas, he visto que estas ocurrencias luego se pueden agrupar en el tiempo para formar “hilos de actividad”, que se pueden comparar para detectar campañas de atacantes.

“Pienso que en un mundo donde los ataques cibernéticos paralizan a las organizaciones cada 39 segundos, la precisión, la eficiencia y la velocidad de respuesta a incidentes se convierten en factores críticos para proteger la infraestructura y los activos digitales”

En las tendencias de acciones de este modelo, se puede garantizar que ataques similares no tengan éxito en el futuro, la estrategia de respuesta a amenazas debe cambiar de un enfoque puramente táctico a una mitigación estratégica que sintetice, correlacione y documente la inteligencia de amenazas contra varios parámetros de infraestructura, aquí les recomiendo, es cuando donde entra en escena el modelo de diamante de análisis de intrusión, no se preocupen es un modelo simple, pero poderoso para autenticar y rastrear amenazas cibernéticas utilizando razonamiento cognitivo y matemático.

Descubrirás en ello tus fortalezas y debilidades y analizado desde otros enfoques que los equipos de seguridad pueden implementar para administrar los ataques cibernéticos y la respuesta a las amenazas.

¿Qué tan útil es para los profesionales de la seguridad?

El modelo de diamante de análisis de intrusión es un modelo cognitivo, así como un conjunto de enfoques matemáticos, ayuda a los expertos en seguridad a organizar grandes cantidades de datos de forma lógica interconectada, al mismo tiempo, un conjunto de herramientas matemáticas les permite mejorar la toma de decisiones estratégicas y el flujo de trabajo analítico frente a un adversario.

En el sector de inteligencia de amenazas (IA), el modelo de diamante de análisis de intrusiones permite a los analistas de seguridad responder rápidamente a grandes cantidades de datos entrantes y establecer vínculos claros entre las piezas de información de amenazas existentes.

¿Qué podemos aprender?, bueno, con el tiempo, los analistas de seguridad comprenderán mejor las intenciones de los adversarios y las estrategias de orientación, lo que les permitirá desarrollar contramedidas proactivas para las nuevas ciberamenazas.

Los indicadores contextuales están habilitados por el modelo de diamante, que mejora el intercambio de información sobre amenazas y permite una fácil integración con otros marcos de planificación para respaldar la creación de un curso de acción, planificación y planes de mitigación, ya que, en su operación, identifica brechas de inteligencia y establece las bases para taxonomías cibernéticas, ontologías, protocolos de intercambio de inteligencia de amenazas y gestión del conocimiento.

Además, permite a los equipos de seguridad mejorar la precisión analítica al permitir la formulación, prueba y documentación de hipótesis, lo que hace que el proceso analítico sea más preciso.

Sus autores, desarrollado por Sergio Caltagirone, Andrew Pendergast y Christopher Betz, el modelo de diamante de análisis de intrusión.

Hay ocho metas características, o subcomponentes, de este modelo:

  1. Marca de tiempo: La fecha y hora del evento.
  2. Fase: Los diferentes eventos o fases que componen el ataque.
  3. Resultado: ¿Qué tan exitoso ha sido el adversario en sus operaciones?
  4. Dirección: La dirección de la actividad del adversario determina la ubicación de los mecanismos de detección.
  5. Metodología: La clase general de la actividad que se desarrolla.
  6. Recursos: uno o más recursos externos de los que depende el evento.
  7. Tecnología: La tecnología que permite la infraestructura y la capacidad del adversario.
  8. Sociopolítica: La relación entre la víctima y el adversario que define la intención del ataque.

Un ejemplo del modelo de diamante de análisis de intrusión

Los ataques FIN8 en 2021, dirigidos a organizaciones en el espacio financiero, hotelero y de entretenimiento con el objetivo de obtener ganancias financieras, fue un evento analizado con el teorema del modelo de diamante.

El adversario (FIN8) usó infraestructura (scripts de PowerShell) para implementar una capacidad (Sardonic Backdoor) mientras atacaba a las víctimas (instituciones financieras).

Esta lista de meta características no es exhaustiva; su empresa puede adaptar el modelo para incorporar meta características de eventos adicionales en función de sus necesidades, recursos y amenazas cibernéticas específicas de la industria.

El establecimiento de meta características también permite construcciones de nivel superior en las que los analistas combinan diferentes eventos en un gráfico ordenado por fases conocido como hilo de actividad, este ayuda a identificar intuitivamente las relaciones causales entre diferentes eventos, entonces, cuando faltan eventos de un hilo, esto ayuda a identificar brechas de conocimiento en la inteligencia de amenazas que puede tratar de rectificar.

Los Indicadores de Compromiso, deben enriquecerse con una base contextual, conectándolos con otros elementos de ataque, el modelo Diamante de análisis de intrusión, como la mejora la calidad de estos indicadores y amplía su rango de aplicabilidad.

Las oportunidades de pivote se vuelven más fáciles de identificar con análisis más efectivos y preguntas analíticas perspicaces.

El proceso analítico se vuelve significativamente más riguroso a través de la generación de hipótesis, la documentación y las pruebas, lo que aumenta la eficiencia y la precisión en toda la cadena, de igual manera su flexibilidad del modelo le permite integrarse con casi todos los marcos de planificación, lo que permite al personal de seguridad desarrollar cursos de acción lógicos y estrategias de mitigación impactantes.

El modelo se puede utilizar para cotejar la clasificación de amenazas ya establecidas y la investigación de detección de intrusos, lo que facilita mucho su relación con el proceso de análisis, con este factor simplifica la caracterización de eventos en tiempo real.

El modelo forma la base de las ontologías de actividad cibernética, las taxonomías, los protocolos de intercambio de inteligencia de amenazas y la gestión del conocimiento.

Otros modelos de ciberseguridad para el análisis de intrusiones

El modelo de diamante de análisis de intrusiones es uno de los tres modelos populares que utilizan la mayoría de los equipos de seguridad, el modelo Diamante explicado anteriormente es un poco más común que los otros dos, Cyber Kill Chain y MITRE ATT&CK Model.

¿Qué tan útil es el modelo de diamante para la inteligencia de amenazas?

El modelo de diamante de análisis de intrusiones es una herramienta valiosa para cualquier analista de seguridad centrado en la inteligencia de amenazas, permite a los encargados de generar inteligencia sobre amenazas cibernéticas analizar rápidamente grandes cantidades de datos entrantes y establecer vínculos claros entre varias piezas de información sobre amenazas.

El resultado para sus equipos de seguridad es una mejor comprensión de las intenciones y estrategias de los adversarios, lo que le permite a su empresa desarrollar contramedidas proactivas contra amenazas cibernéticas nuevas y emergentes.

Complemente su análisis con inteligencia externa

Si su empresa decide adoptar el modelo de diamante de análisis de intrusión, vale la pena complementar este análisis con otras fuentes externas de inteligencia de ciberamenazas (IA), el uso de este modelo puede identificar brechas de inteligencia que a menudo puede llenar al monitorear mejor su huella digital, dicha huella digital incluye exposiciones externas que no conoce y que plantean riesgos de seguridad y aumentan la probabilidad de intrusiones que conduzcan a violaciones exitosas.

Cadena cibernética de Lockheed Martin

Publicado por primera vez en 2011, se atribuye a Cyber Kill Chain el aporte de homogeneidad y estandarización a la industria de la ciberseguridad, describe los siete pasos típicos que un atacante toma durante una intrusión.

  1. Reconocimiento
  2. Armamento
  3. Entrega
  4. Explotación
  5. Instalación
  6. Comando y control

Acciones sobre objetivos

La linealidad del enfoque es tanto una fortaleza como una debilidad de este modelo, si bien permite a los operadores obtener más claridad, también simplifica demasiado las situaciones y conduce a conclusiones apresuradas e incompletas.

Estas desventajas se pueden superar mediante la combinación del modelo Kill Chain lineal con el modelo Diamante para crear un gráfico de ataque visual que muestre una representación más rica y detallada de una intrusión que permita imprevistos o lagunas en el ataque.

El modelo MITRE ATT&CK

También conocido como modelo de conocimiento común, técnicas y tácticas adversarias, se ha convertido en uno de los enfoques más populares adoptados por las aplicaciones modernas para trazar TTP (Tácticas, Técnicas y Procedimientos) específicos para cada uno de los diez pasos.

  1. Acceso inicial
  2. Ejecución
  3. Persistencia
  4. Escalada de privilegios
  5. Evasión de defensa
  6. Acceso con credencial
  7. Descubrimiento
  8. Movimiento lateral
  9. Recopilación
  10. Comando y control

Este modelo facilita la identificación de TTP o el IOC (indicador de compromiso) comunes que podrían emplear futuros ataques cibernéticos, la capacidad de predecir vulnerabilidades y amenazas potenciales lo convierte en una herramienta valiosa para desarrollar estrategias de mitigación preventivas.

Defensa eficiente contra las amenazas digitales

Las peculiaridades del Modelo Diamante le otorgan una capacidad única para proteger la infraestructura digital, examinar la victimología y generar vínculos imprevistos entre el atacante, sus habilidades y la infraestructura de la víctima permite a los equipos de seguridad identificar el ruido y la actividad pivotante correspondiente.

Mejores herramientas para identificar las relaciones entre los componentes clave de riesgo digital y crear grupos de actividades, estos grupos se pueden rastrear para seguir de cerca cada paso del pirata informático durante un ataque, si bien esto hace que la detección de intrusiones sea mucho más eficiente, también enmascara las debilidades potenciales del modelo de diamante de análisis de intrusiones, una de las cuales es el tedioso y lento proceso de análisis manual.

El panorama digital en rápida evolución ha dado lugar a amenazas cibernéticas más nuevas, más evasivas, rápidas y dañinas, no debemos pensar en forma reducida, una vez que sepamos que existió un ataque, sabemos que la mitigación manual por sí sola no puede prevenir delitos cibernéticos como el phishing, la suplantación de identidad de marca y el error tipográfico, pienso que estas amenazas digitales de la nueva era requieren una solución de detección, análisis y remediación automatizada impulsada por IA como Bolster.

Únicamente mencionaré como ejemplo a Bolster, esta es una sólida herramienta de protección contra riesgos digitales que monitorea continuamente los dominios, las redes sociales, las tiendas de aplicaciones y la Dark web mediante su plataforma de inteligencia artificial patentada, y automáticamente elimina las amenazas de manera eficiente, sin ninguna intervención manual.

Axiomas del modelo de diamante

El documento original del modelo Diamante incluye 7 axiomas sobre eventos de intrusión, adversarios y víctimas, estos son útiles para tener en cuenta al investigar y analizar la actividad del adversario.

Uso del modelo Diamante para CTI

El valor del modelo Diamante para los analistas de CTI (Cyber Threat Intelligence) radica en la identificación de relaciones entre eventos y en el análisis de eventos para aprender sobre el comportamiento del adversario.

En el pivoteo analítico, comienza con un punto en el diamante y gira para descubrir y aprender más sobre los otros puntos, por ejemplo, aprender sobre una víctima puede conducir a aprender más sobre las capacidades e infraestructura del adversario.

“El Modelo Diamante no está destinado a ser utilizado para ver un evento de intrusión como un punto en el tiempo; está destinado a rastrear a los adversarios a lo largo del tiempo”

Varias actividades del modelo Diamante

Un hilo de actividad muestra la cadena de eventos y las relaciones causales entre ellos, ya que el adversario ha actuado contra múltiples víctimas, al correlacionar eventos entre subprocesos de actividad, puede identificar campañas adversarias, también he visto que puede obtener una comprensión más completa del comportamiento del adversario, lo que ayuda a planificar las mitigaciones.

Un gráfico de actividad-ataque va más allá de la información histórica y predice los caminos futuros que podría tomar el adversario, les aseguro que esto ayuda a planificar las mitigaciones.

Un grupo de actividad es un conjunto de eventos y subprocesos de actividad que tienen características o procesos similares, formar un grupo de actividad le brinda más información para analizar, puede usar esta información para correlacionar eventos automáticamente y planificar mitigaciones, para identificar al adversario detrás de eventos e hilos, observando un uso similar de las capacidades y la infraestructura, consideren que después de identificar a un adversario, puede obtener más información sobre sus TTP, lo que puede ayudarlo a planificar las mitigaciones.

Pasos del grupo de actividades

Problema analítico: defina la pregunta que está tratando de responder (por ejemplo, “¿Cuál es la intención del adversario?”)

Selección de características: defina las características del evento y los procesos adversarios que usará para la clasificación y el agrupamiento

Creación: cree grupos de actividades a partir de eventos e hilos de actividades

Crecimiento: integrar nuevos eventos en grupos de actividades

Análisis: analice grupos de actividades para responder al problema analítico del paso 1

Redefinición: grupos de actividad redefinidos según sea necesario, a medida que cambien los adversarios

Espero que sea de utilidad para ustedes y tal vez hayan ya ejecutado estos modelos, que se entran integrando muy bien a la IA.

Repuntando:

El modelo de diamante de análisis de intrusión brinda un análisis eficiente, efectivo y preciso de incidentes que las empresas y los equipos de seguridad han carecido durante mucho tiempo.

La teoría del modelo del diamante

En teoría, un “adversario” explota una “capacidad” sobre una “infraestructura” contra una “víctima” y en términos simples, este enfoque afirma que los adversarios usan sus capacidades de infraestructura contra las víctimas para tener un impacto en cada intrusión, esta hipótesis establece que un acto de intrusión describe cómo un atacante muestra y despliega varias capacidades y tácticas contra una víctima sobre la infraestructura.

Su amigo,

Firma 2023 Rberny - Ing. Rubén Bernardo Guzmán Mercado
Firma 2023 Rberny – Ing. Rubén Bernardo Guzmán Mercado

Views: 443

Comparte si fue de tu agrado

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.