Understanding the Diamond Model of Intrusion Analysis — Part 1: Sparkly Diamond!
Bir önceki yazımda değindiğim Lockheed Martin Cyber Kill Chain’nin adımlarını incelemiştik. Bu yazı serimde de Diamond Model of Intrusion Analysis ile Cyber Kill Chain’nin adımlarını Threat Intelligence adımları ile birleştirerek analiz etmeye çalışacağız. Ilk olarak bu perspektifi bir tanıyalım. Temelinde Adversary, Infrastructure, Capability ve Victim şeklinde oluşan bir yapı taşlarına sahiptir. Bu modeli yaratan Sergio Caltagirone, Andrew Pendergast ve Christopher Betz tarafından oluşturulmuştur.
Adversary; Saldırgan’dır. Amacı Kurban’dan faydalanma yolunda Capability ve Infrastructure üzerinden ilerlemektir. Adversary Customer(Bir Hacker veya intrusion’dan faydalanmak isteyen kişiler olabileceği gibi, hacker’ları bir araya getiren bir güç olabilir) ve Adversary Operator(Hacker) kavramlarıyla ayrılmaktadır. Burda önemli olan Adversary Customer’ın yeteneklerinden ziyade finansal gücü ve yetkinlikleridir. Finansal gücü ve yetkinlikleri sayesinde oldukça yetenekli Adversary Operator’leri bir araya getirerek güçlü bir düşman ve birbirinden farklı senaryolar işleyen saldırı grupları yaratabilir.
Capability; ise bu kısımda devreye girmekte ve Adversary’nin saldırı güçlerini ve tekniklerini ifade etmektedir. Bu yapı en basitten en detaylı ve kapsamlı tekniklere kadar uzanabilir. Capability Capacity, Saldırganın sahip olduğu tüm saldırı yeteneklerinin güvenlik açıklıkları ve riskler kapasitesinde değerlendirilerek derecelendirilmesidir. Burda önemli olan kısım Victim’dan bağımsız olarak bireysel yeteneklerle ele alınıp şekillenmesidir. Adversary Arsenal ise Adversary Customer veya Adversary Operator’ün yeteneklerinin kapasitesini ifade eder.
Infrastructure; adversary’nin yetenekleri(Capability) doğrultusunda altyapının bileşenlerinin sömürüldüğü/kullanıldığı kısmı ele alır. Tip 1 ve Tip 2 yapılar olarak ele alınır. Tip 1 tamamen saldırganlar tarafından kullanılan yapılardır. Tip 2 ise farkında olunan yada olunmadan kullanılan Zombie host’ların bulunduğu, Malicious Server veya domain’lere dönüştürülen sistemleri ele almaktadır.
Victim; Kurban bu sistemde Adversary birimlerinin Capability’leri doğrultusunda Infrastructure’daki birimlerin kusurlardan veya birimlerden faydalanarak sömürdüğü kısımdır. Victim Persona ve Victim Asset olarak ayrılır. Victim Persona, Adversary tarafından saldırıya uğranılıp sömürülen kişi veya kurumdur. Victim Asset ise saldırı yüzeyidir. Saldırı sırasında doğrudan veya dolaylı kullanılan ve sömürü oluşan noktaları temsil eder.
Event Meta-Features
Diamond modelindeki etkinliklerin kritik olmayan ancak yok sanılmayacak unsurlarını içeren özelliklerdir ve modeli biraz genişletmemizi, daha iyi özümsememizi sağlar.
a.Timestamp
Zaman damgası olay örgüsünün oluşturulması ve olayın analizinde kilit noktalardandır. Farklı düşmanların farklı aktivitelerinin analizinin belirlenmesi yine olay başlangıç ve bitiş zaman damgası sayesinde ayır edilebilir.
b. Phase
Lockheed Martin’nin Cyber Kill Chain yapısında incelediğimiz gibi kötücül aktiviteler tek bir adım da gerçekleşme olasılığı çok çok azdır. Her adımda farklı Infrastructure ve farklı Capability’leri kullanarak adımları ilerletebilir. Bu nedenle her fazı diğer meta-feature’lar ile kurgulamalıyız.
c. Result
Adversary birimlerinin gerçekleştirdiği olayların sonuçlarını ve koşullarını her zaman sonuca ulaşmasada keşfetmek oldukça önemlidir. Operasyonun yapı ve olay sonrası koşulların değerlendirmesini yaparken de Success, Failure, Unknown olarak belgelenmelidir.
d. Direction
Olay akışı ve olayın oluşma yönü yine saldırının sonuca ulaşmasında ve incelenmesinde önemli ve etkilidir. Daha çok network-based olaylarda etkilidir. Bu model belirlenirkende ; Victim-to-Infrastructure, Infrastructure-to-Victim, Infrastructure-to-Infrastructure, Adversary-to Infrastructure, Infrastructure-to-Adversary, Bidirectional, or Unknown olarak nitelendirilir. Bu sayede sonuca doğru ilerlerken olayın External veya Internal çözümlemesi dışında Diamond modelinin detaylı alt kırılımlarında da yer belirlemesinde bulunulur.
e.Methodology
Tüm akışda en yarar sağlayan ve diğer Meta-feature’lar ile şekillenen yapıdır. Olay örgüsünün saldırgan bakış açısıyla şekillendirirken Diamond modelin köşe taşları ve meta-feature’ları arasındaki elde ettiğimiz veriler ışığında olayın adımları şekillenmeye ve bizi hedefe götürmeye yaklaştırıcaktır.
f.Resources
Kaynaklar aslında olayin şekillenmesinde ele alınan tüm meta-feature’ların oluşumundaki destekleyici nedenleri sorgulamayı bize hedefler.
Kaynakça;
