El Modelo Diamante desarrollado por analistas expertos, introduce tecnología del “estado del arte” para el análisis de intrusiones. Este modelo ofrece un framework y un conjunto de procedimientos para reconocer grupos de eventos relacionados sobre cualquiera de los sistemas en una organización. El modelo determina el elemento atómico vital ocurriendo en cualquier actividad de intrusión, conocido como el evento Diamante. Los analistas pueden identificar los eventos y conectarlos como hilos de actividad para obtener información relacionada sobre como y que ocurrió durante un ataque. Los analistas también pueden fácilmente identificar si algún dato es requerido examinando las características faltantes. También ofrece un método u hoja de ruta para analizar incidentes relacionados con cualquier actividad maliciosa, y predecir la posibilidad de un ataque además de su origen.
Con el Modelo Diamante se pueden desarrollar enfoques para mitigación más avanzados y eficientes, además la eficiencia analítica puede ser incrementada. Esto también resulta en ahorro de costos para el defensor, y un aumento de costos para el adversario. El evento Diamante consiste de cuatro características básicas: adversario, capacidad, infraestructura, y víctima. Este modelo es nombrado así porque cuando todas las características son ordenadas acorde a su relación, forman una estructura en forma de diamante. Aunque parece una perspectiva simple, es bastante complejo y requiere elevada experiencia y habilidad para rastrear el flujo del ataque.
Los siguientes son las características esenciales del evento Diamante en el Modelo Diamante para Análisis de Intrusiones.
Adversario: Un adversario frecuentemente se refiere a un oponente o hacker responsable por el evento de ataque. Un adversario toma ventaja de una capacidad contra la víctima para realizar una actividad maliciosa para un beneficio financiero o dañar la reputación de la víctima. Los adversarios puede ser individuos como internos o una organización de la competencia. Los adversarios pueden utilizar muchas técnicas para ganar información, como direcciones de correo electrónico y activos de red, e intentar atacar cualquier aplicación utilizada en teléfonos inteligentes para ganar información sensible.
Víctima: La víctima es el objetivo quien será explotado o el entorno donde se realizó el ataque. El adversario explota las vulnerabilidades o fallas de seguridad en la infraestructura de la víctima utilizando sus recursos. La víctima puede ser cualquier persona, organización, institución, o incluso información de red, como direcciones IP, nombres de dominio, direcciones de correo electrónico, e información personal sensible de un individuo.
Capacidad: La capacidad se refiere a todas las estrategias, métodos, y procedimientos asociados con un ataque. También puede ser malware o una herramienta utilizada por un adversario contra el objetivo. La capacidad incluye técnicas de ataque simples y complejas, como ataques por fuerza bruta y ransomware.
Infraestructura: La infraestructura se refiere al hardware o software utilizado en la red por el objetivo quien tiene una conexión con el adversario. Se refiere a "que" el adversario ha utilizado para alcanzar a la víctima. Considerar una organización con un servidor de correo electrónico en el cual todos los datos relacionados con los Identificadores de correo electrónico y otros datos personales son almacenados. El adversario puede utilizar el servidor como infraestructura para realizar cualquier tipo de ataque, dirigiéndose a un solo empleado. La explotación de la infraestructura conduce hacia fugas de datos y exfiltración de datos.
Fuentes:
https://www.eccouncil.org/cybersecurity-exchange/ethical-hacking/diamon…