入侵分析钻石模型学习笔记

例如，图7说明了根据图6中的事件2、3、4和6定义的对手过程。该对手过程可被描述为：起初是一次侦察事件，其中包括对“网络管理员”的网页搜索。其次(但不一定立即)发送带有木马附件的电子邮件，用户打开附件后，会触发本地计算机上的特定已知漏洞(例如CVE-YYYY-XXXX)。漏洞利用成功后受害者主机会向控制端发送HTTP Post消息。现在，该活动线可被用来与其他展现出大致相同的事件顺序的活动线进行匹配。

图7：一个对手过程的图示和说明
正式来讲，钻石模型将对手过程定义为包含其特征子集的活动线的一个子图。子图可以是“弹性的”，因为既可以定义这样的子图：事件不需要保持它们之间的严格顺序也可以有效地与另一条活动线进行匹配(如图7中事件之间的虚线弧所示)。换句话说，它仅按一般顺序匹配关键特征，不过在它们之间可能存在其他事件；反过来也可以“严格地”定义对手过程，即所有事件必须严格保持其先后顺序，相关事件之间不能插入其他事件；或前面讨论的两者皆有(所以一共有3种情况)。
分析假设支持(Analytic Hypothesis Support)
支持假设的生成、记录和测试是活动线最重要的功能之一，它提供了与形式化分析模型(例如“竞争假设分析(ACH)”)的整合，并应用了必要的科学严谨性。分析的第一步是定义要解决的问题。一旦定义了问题，就可以生成、记录和检验假设。
如前所述，通过将事件放置在基于阶段的模型中，可以更轻松地识别知识缺口。公理4指出恶意活动是多阶段的，因此每个阶段都应当至少包含一个事件。知识缺口识别的另一种方法是使用资源的元特征。然后分析人员可以提问：对手如何为每个事件提供所需的资源？从而生成必要的假设来解决问题。
这些假设随后可以被记录在活动线中，并有必要与其他事件区分开。 这是一个重要的特性，因为大多数(之前的)分析的失败原因之一是缺少有据可查的假设，而且更危险的是，缺乏假设与事实之间的区分。活动线模型鼓励假设的产生和记录，从而增加知识的价值和准确性。
一旦对假设进行了记录和区分，就必须对其进行完善和检验。有几种方法可以在进行假设检验时与钻石模型一起使用，以确定给定的假设本身以及其他假设是否合理。例如，可以将证据权重应用于竞争假设、奥卡姆剃刀(在其他条件相同的情况下，简单比复杂的解释更好)、保守主义(当前假设是否适合所分析活动的其他方面)，以及之前其他因为竞争各假设产生的归纳和演绎推理方法。
例如，图6中的事件10可以在资源元特征中列出以下内容：发送电子邮件的网络访问权限、对电子邮件帐户的访问权限、目标电子邮件地址、电子邮件中包含的木马文件、以及给其目标创建一封电子邮件的知识，该电子邮件将绕过过滤器并诱使目标执行恶意软件。事件7(代理访问)或事件8(搜索结果)都没有提供必要的资源来向首席资源官发送电子邮件，特别是目标的电子邮件地址和角色(例如，对目标的了解)。 因此，在分析时将事件9假设为目标信息的来源，活动线中有了这一事件后，就可以将最具诱惑的电子邮件发送到正确的目标。
事件9可以通过几种方式进行测试。首先，它是简单且合乎逻辑的，因为它所需的所有必需的资源都已满足，因此无需假设任何其他事件。其次，它“符合”对手的能力和访问范围。第三，可以收集证据(例如，宿主的事件日志)以确定它是否发生，从而使该假设是可测量的和可检验的，以满足科学上的严谨。
优势：这种形式的文档有助于最终在入侵分析过程中实现可重复性，因为其他分析人员都可以独立跟踪活动图，从而建立自己的假设和结论，并将其与原始假设进行比较。这个过程建立了对分析结论的信心，并提高了最终判断的准确性。
活动-攻击图(Activity-Attack Graph)
活动线和传统攻击图不是相互排斥的，而是回答了互补的问题。
定义：攻击图定义和枚举了对手可能采取的路径，而活动线定义了对手已经采取的路径。这两者可以通过将活动线叠加到一个传统攻击图上实现共存。钻石模型中将这种能提供情报信息的攻击图称为活动-攻击图。
活动-攻击图提供了若干好处：
它在攻击图分析的整个范围内都维护了攻击图的完整性。
它增加了包含在一个攻击图内的信息数量，因为每个顶点都是一个特征丰富的钻石事件。
它增加了包含在一个攻击图内的可视化信息，与此同时几乎未减少图的使用性。
已知实际对手的选择(和偏好)时，它将生成更准确的权重。
它突出显示了对手的偏好以及潜在路径。
它详尽地(由于攻击图的性质)为博弈场景和缓解策略的开发绘制了潜在路径(例如，如果采取此措施，则对手很可能采用这里面的某条路径)。
通过重合水平关联的攻击线进行犯罪事实比较，它可以帮助填补任何一个攻击线的知识缺口。通过对正在进行的事件进行响应调查，它可以更快地生成和测试假设，使结果更准确。
图8：一个活动-攻击图的例子。这幅图从已知会被利用的潜在路径(攻击图)中区分出已知的对手路径(活动图)。这就像同时咨询渗透测试者(例如红队)和漏洞评估方(例如蓝队)以制定最佳行动方案。

优势：最终，活动线和活动-攻击图允许更好的缓解策略开发，因为它们将信息准确性和威胁情报紧密结合在一起，将已发生的情况与可能发生的情况整合在一起，从而使策略既可以应对当前威胁，又为对手的(潜在的)反应做出计划，从而有效地应对对手在未来的行动。这种整合的计划还可以实现更高的资源利用率，因为它可以将缓解措施设计为同时应对当前威胁和未来的威胁。
活动组织(Activity Groups)
定义：活动组织是钻石事件和活动线的一个集合，这些活动线的特征或过程相似，并由置信度进行加权。
提出活动组织的两个目的：
分析人员需要一个能用来回答对活动知识理解广博(的人)才能回答的分析问题的框架。

上一页  [1] [2] [3] [4] [5] [6] [7] [8]  下一页

 4/9   首页 上一页 2 3 4 5 6 7 下一页 尾页