入侵分析钻石模型学习笔记

持续性对手关系
公理7：对手中存在一个子集，该子集拥有在抵御缓解的同时，针对一个或多个受害者，长期维持恶意影响的动力、资源和能力。 此子集中的对手—受害者关系称为持续性对手关系。
持续性对手(Persistent Adversary)
定义：在一段特定的对手-受害者关系中满足公理7的对手。
下图中的外圆是由公理2和公理6的组合定义的对手-受害者关系，内圆是由公理7定义的持续性对手-受害者关系。一段对手-受害者关系具体落到哪个圆则由公理7决定。

图3：不同对手-受害者关系间的韦恩图
一个对手在面对某个受害者时是可持续的并不意味着它面对其他受害者时也是可持续的。举个例子，在某次活动中对手获得了权限，但发现目标没有价值，于是离开并放弃了想要持续的努力。然而，在另一次活动中它也许会持续很长时间以获得更有价值的数据。从受害者的视角来看，一个受害者可能会被多个对手攻陷，其中一些对手在面对该受害者时是持续性的，另一些则是非持续性的。因此，持续性或非持续性由特定的对手-攻击者对所决定。
持续性等级范围表明不是所有对手的持续性都是对等的，相反，它们落在在易逝和持久之间的某个点上。决定特定的对手-受害者关系落在该范围内的哪个点的是一个由许多元素定义的函数，并且该函数会随着时间改变。

图4：持续性范围等级图
持续性并不是一个二元或者静态特征。尽管众所周知许多持续性入侵可被技术手段缓解。持续性程度范围广泛，因此可提出如下推论：
推论1：依据对手与受害者关系的原理，存在不同程度的对手持续性。
持续性等级描述了对手的动机和能力、以及他们为了维持影响所乐于付出的努力和资源。如图4所示，可持续程度表体现了对手在易逝和最持久之间的范围，并在很多案例中决定了防御者为了对抗持续所需的努力和资源。
以下是对手-受害者关系中决定可持续程度的一些因素：
与其他需求相比，受害者满足对手需求的相对优势
在持续努力中对手意识到的风险
为了维持影响，对手需要付出的代价
受害者满足一个特定需求的唯一性
受害者能持续满足(对手)的需要
防御者为抵御持续性所付出的努力和资源等级
无论是持续性还是非持续性对手关系，每个对手-受害者关系在可持续性范围上的位置都是独一无二的。为了便于参考和分析，并且不忽略(上述)范围代表的复杂性和连续性，通常考虑该范围上的两类受害者：
机会受害者(Victim of Opportunity)
定义：这类受害者在对手活动中是一种消耗型商品，失去访问(权限)不会被留意到，或者不会花费对手资源去再次获得访问(权限)。这个类型的受害者落在范围的最左边，也就是最不可持续的关系集。这些受害者往往是一开始就被针对的那些，因为他们本身就存在漏洞，在需要时(立即)可用。
利益受害者(Victim of Interest)
定义：这类受害者是非消耗型商品，持续访问可以为对手提供足够有价值的(信息)，失去访问则会引起注意，对手将花费资源重新获得对该受害者或相关受害者的访问权限。这类受害者落在持续性范围的最右侧，指向“持久”。
重要的是，一段持续性对手-受害者关系在范围中并非是静态的——它可以变换。一个受害者在起初以“易逝”或“机会受害者”出现并不意味着不能在之后变换。举个例子，如果受害者最初通过自传播蠕虫被感染，但对手发现受害者具有更高的价值，那么这些受害者可能会成为利益受害者，并沿着“持久”的方向朝右移动。
网络受害者学
钻石模型是独特的，因为它将受害者和对手放置在同一个空间中，并突出显示了两者之间通常不公开的关系。此外，随着钻石模型通过“活动线”和“活动组织”(这两个概念在后面进行讨论)扩展到涵盖许多对手和受害者，可以开始从犯罪学和受害者学中吸取专业知识，从而引发如下重要问题：
为什么某个特定实体会成为受害者？
存在一组通用的受害者吗？
受害者共享一个通用特征吗？
可以从受害者群体中推断出对手意图吗？
谁会变成另一个(目前还未知)的受害者？
谁会有需要和意图使这些组织变为受害者？
有了更好的受害者学模型后，就可以开始通过降低受害者的吸引力并预测未来的受害者来研究反制对手的方法。这使组织可以适当地最大化侦查资源，就像侦探专注于高风险人群和集中犯罪区域，而不是在随机区域巡逻一样。例如，如果将(钻石模型中的)社会政治特性与以受害者为中心(见”绕轴旋转”部分)的方法有效地结合使用，就可以预测一些水坑攻击的位置，并进行有针对性的检测/缓解，以取占可能会发生的恶意挂马网站。
共享威胁空间
定义：如果两个或多个受害者的共享特征足以满足一个或多个对手的需求，那么他们将处于“共享威胁空间”中。
技术(Technology)
除了社会政治元特征外，技术元特征强调另一段特定关系，并涵盖了两个核心特征：基础设施和能力。这代表了连接和启用基础设施与能力以实现操作和通信的技术。
上下文指示(Contextual Indicators)
定义：上下文指示是指放置在对手行动上下文，并可以强化检测和分析的信息元素。
绕轴旋转 (Pivoting)，以下简称“旋转”
定义：绕轴旋转是一种抽取一个元素并结合数据源探索该元素，以发现其他关联元素的分析技术。
根本上来说，旋转是关于假说测试的基本分析任务。入侵事件的每个元素都会生成自己的假设，这些假设需要证据来加强、削弱或更改自身。旋转是发现相关元素(证据)的任务，这些元素可为假说提供依据，并借助自身产生新的假说。旋转的成功取决于分析人员是否了解各元素之间的关系以及他们成功利用数据元素和数据源的能力(举个例子，如果我有该信息，与这个数据源结合，我就可以发现这个…)

上一页  [1] [2] [3] [4] [5] [6] [7] [8]  下一页

 9/9   首页 上一页 7 8 9