EquipoContacto

Modelo de Diamante

GuillermoGuillermo

El modelo de diamante para el análisis de intrusiones fue originalmente analizado en un artículo de Christopher Betz, Sergio Caltagirone y Andrew Pendergast. Este modelo se puede resumir de la siguiente manera.

Un adversario utiliza una infraestructura específica para llevar a cabo una acción determinada contra una víctima. Estas acciones se denominan eventos, los cuales se organizan en fases y se agrupan por parejas de “adversario-víctima” en hilos de actividad que reflejan el desarrollo de las operaciones del adversario.

Es decir, el modelo de diamante sirve para comprender la interacción entre los distintos actores existentes (adversario y víctima) y las herramientas del adversario (infraestructura y capacidades). También describe el hecho de que un adversario revela información sobre sí mismo cuando realiza actividades contra una víctima.

El adversario ejecuta un ataque contra una víctima utilizando una capacidad propia y una infraestructura a su disposición. Estos dos componentes están interrelacionados, ya que el modelo establece que una capacidad no puede ser ejecutada sin el respaldo de una infraestructura adecuada que la apoye. Cuando la víctima detecta el ataque, aunque no conozca la identidad ni las características específicas del atacante, puede identificar las capacidades empleadas en su contra (malware, C2, TTPs… etc.). De esta manera, es posible que logre reconocer parte de la infraestructura utilizada por el atacante durante el ataque.

Por otra parte, la naturaleza de la víctima también proporciona información sobre los intereses y las capacidades del atacante. La infraestructura utilizada en un ataque forma parte de los recursos del atacante, que por muy sofisticado que sea siempre tiene recursos limitados, facilita identificarlo cuando éste realice otras actividades. Esta realidad refuerza la idea de la importancia de que existan comunidades de intercambio de inteligencia como las instituciones conocidas como ISAC (Information sharing and Analysis Centre) y CIISI (Cyber Information & Intelligence Sharing Initiative).

Modelo Extendido

El modelo de diamante se amplía en ocasiones con dos “metacaracterísticas”: tecnológica y sociopolítica.

    • La metacaracterística tecnológica conecta la infraestructura con la capacidad, describiendo las tecnologías que facilitan su interacción eficaz. Por ejemplo, si un malware utiliza el Sistema de Nombres de Dominio (DNS) para localizar su servidor de mando y control, el DNS se consideraría parte de esta metacaracterística tecnológica
    • La metacaracterística sociopolítica analiza la relación entre el adversario y la víctima, una conexión que se centra en destacar las motivaciones, aspiraciones e intenciones que impulsan las actividades maliciosas. Por ejemplo, esta metacaracterística se observa muy claramente cuando un adversario como Sandworm ataca a Ucrania para desestabilizar su infraestructura. Con esta dimensión se incluyen conceptos propios de la criminología y victimología en el análisis de intrusiones.
Bibliografía
MITRE ATT&CK & TTPsAnterior

MITRE ATT&CK & TTPs

Siguiente

Niveles de CTI