入侵分析钻石模型学习笔记
来源:岁月联盟
时间:2020-03-16
钻石模型提供了关于对手的组件间相互依赖性的一种理解。对手想要让自己的努力生效,就必须在意图和结果之间存在并创建一条完整的活动线。钻石模型通过确定对手需要替换/修复/重新实现的组件,从而帮助解防御者理解自己的行动将如何影响对手的能力。
防御者的行动应当选在使自己代价最小且使对手代价最大的位置。对手的代价可以体现在重新构建一个能力相仿,功能性类似的基础设施平台所需的消耗上(金钱、资源、时间)。对手的代价有许多方面,包括开发时间、基础设施建造的时间和代价、重新获取能力的时间和代价、机会成本、以及因准备不足而产生的成本。防御者的代价也体现在许多方面,例如金钱、时间、需要解决的法律和道德风险。
钻石模型是一个基础概念,它有助于构建和加强分析,以实现其最终目标:缓解。该模型没有规定缓解策略或行动方案,它们与该模型分开存在。相反,钻石模型支持多种形式的决策。以下是该模型对几种流行决策框架各方面的适用性的讨论:
作战环境联合情报准备(Joint Intelligence Preparation of the Operational Environment),简称JIPOE
美国国防部的军事计划学说“作战环境联合情报准备”(JIOPE)是一份易于理解且经常被引用的文档资源,它建立了利用情报制定行动方案的流程。该学说意识到:若仅基于对手基础设施和能力中的无用部分制定战略,战略将失败。相反,它规定了一种组合方法,其中包括对对手资源的认知、引力中心的识别及对手的反应和采取的行动。 这种方法可以确定缓解的最佳区域,并可以反制对手在被缓解后维护和重建这些功能和基础设施的能力。钻石模型支持该模型中的以下规划:
通过活动线中丢失的事件特征和阶段缺口帮助确认情报和信息缺口(JIOPE步骤1,元素6)
支持对手建模(JIOPE步骤3,元素1)
在聚焦资源的同时识别对手的基础设施和能力(JIOPE步骤3,元素3)
通过对活动线和活动组织的分析识别中心引力(JIOPE步骤3,元素4)
通过对活动线、受害者学和活动组织的分析,识别对手的目标和最终状态(JIOPE步骤4,元素1)
通过活动-攻击图分析识别出那些在攻击中潜在和被对手偏爱的攻击路径,从而确定对手的行动方案(JIOPE步骤4,元素2,3)
杀伤链分析(Kill Chain Analysis)
钻石模型和杀伤链是高度互补的。杀伤链分析允许分析人员“去针对和吸引一个对手以创造理想的效果”。钻石模型允许分析人员去开发情报分析工具并理解之,从而构建和组织执行杀伤链分析所必须的知识。结合两个模型的两种方法描述如下:
一旦分析人员开发出一条活动线,对于活动线中每个事件的行动方案都可以借助杀伤链的行动方案矩阵进行制定。如图11所示,针对图6中的活动线1&2内的每个事件在杀伤链中的行动方案都在图中列出。钻石模型的能力在于设计的行动方案可以扩展到同一对手下横跨不同活动的多个受害者,从而使这些防御行动变得更加有利,因为它们能进一步削弱对手的能力。
图11:杀伤链行动方案示例
将活动组织按可能相同的对手进行聚类(即归因聚类),并分析该组织内事件的最大共同特征集,可为“杀伤链”提供所需的关键活动指示,以聚焦并确定行动的优先次序。
漏洞覆盖(Vulnerability Cover)
常见的信息保证实践是分析系统(或网络)的漏洞,根据组织的特定关注点(例如,资产价值和成本)对这些漏洞进行排名,然后对这些漏洞应用缓解措施。通过使用钻石模型,传统的信息保证决策不再是通过假设潜在的对手及其路径来做出的,而是通过将实际的攻击路径注入活动-攻击图,以预测对手的偏好和潜在路径来做出的。这种方法可以提供更全面的保护,并增加了对手的成本,因为他们现在必须在当前的能力基础之外进行开发、训练和操作。
钻石模型的改进方向
钻石模型在当前是基于认知的和高度人工化的。因为它只是一个为了准确地捕获入侵分析过程而待研究和待改进的模型。但是,一旦开发出自动化和效率更高的模型,钻石模型将会变得有用很多倍。因此,作者希望在论文中提供了足够的见识和相关努力的引证,以推动这些方面的未来工作。
这种无价的自动化措施之一就是将钻石模型集成到分析工具中,这些工具会自动从网络传感器获取情报,并从其他组织(尤其是在共享威胁空间内的组织)获得外部报告。但目前仍需入侵分析人员输入新的情报并监督自动化反馈。所以需要使工作变得易于使用,以扩大而不是阻碍分析流程。此外,这种方式还可以带来自动化和形式化的假设生成和检验,从而对分析结论进行即时评估。
为了实现这一目标,必须有一个协议来共享上下文指示和威胁情报,以快速集成来自所有这些来源的信息。作者将钻石模型视为实现此目标并改进新的或现有的协议和形式语言的基础,以使其更加具备上下文性与关联性。这也可能需要进一步完善分类法。钻石模型本身提供了将特征和子特征定义为无穷级的信息层的机会。但是,对模型的不同实现可能会在其定义中发生冲突。因此,使用分类法基础知识进一步完善每个功能和子功能的子模型至关重要。
还有一些杂项元素被描述为需要进一步努力,例如:
针对特定分析问题的特征向量定义和聚类/分类算法
将渗透测试和漏洞评估集成进活动-攻击图的潜在性
在聚类/分类过程中防止入侵分析事件过度拟合的方法
从分类学的思路彻底审视和定义事件的子特征
为确定持久性程度而对变量和方面的评估(方法)
对社会政治领域及其在缓解决策中的作用更透彻的了解,包括厘清对手的需求和愿望
最后,该模型的目的是最终实现更有效和准确的分析,以使计划、策略和决策制定能够防御网络入侵。因此,尽管作者已经展示了如何将该模型与多个其他框架一起使用,但每个模型本身都可能是一项工作,而且还有许多其他模型需要考虑。
钻石模型的引用文献
该论文引用了56处文献,包括以下几个流传度比较广的文献,为引起读者注意,这里单独列出一下:
上一页 [1] [2] [3] [4] [5] [6] [7] [8] 下一页
