براساس مدل دیاموند همه فعالیت های مرتبط با مهاجم ورویدادهای مخرب با چهار عنصر اصلی قابل تشریح هستند. این عناصر عبارتند از مهاجم، زیرساخت، قابلیت و قربانی.

تحلیل نفوذ دیاموند

تحلیل نفوذ دیاموند

این عناصر قابلیت پوشش همه فعالیت های مرتبط با حمله مهاجم را دارند یا به عبارتی ویژگی های مرتبط با هر فعالین مخرب قابل نگاشت به یال های این مدل است. براین اساس، یک رویکرد شکار تهدیدات سایبری می تواند بر پایه یکی از راس های این مدل شروع شود و به سمت هر یک از یال ها برای جمع آوری اطلاات بیشتر ادامه یابد.

از آنجا که شکار تهدید یک عملیات پرهزینه و زمان براست، داشتن یک راهبرد در ابتدای شکار تهدید، باعث کاهش ریسک صرف زمان و هزینه بر روی موارد غیر ضروری و بی نتیجه می شود. همچنین استفاده از رویکرد مناسب برای شکار تهدید شانس بازگشت سرمایه عملیات و موفقیت آن را بالا می برد.

برای ساختن راهبرد شکار تهدید براساس در مدل دیاموند باید به چهار پرسش اساسی زیر پاسخ دهید؟

  1. چه چیزی را می خواهید شکار کنید(چرا شکار می کنید)؟ از آنجایی که شکارتهدید یک کار هزینه بر است. نقطه شروع و دلیل شکار خود را تعریف کنید. آیا به دنبال شناسایی سرقت اطلاعات هستید یا شکار را برای یافتن تحرکات عرضی یا اجرای کدهای اسکپلوییت انجام می دهید؟.
  2. کجا شکار پیدا می شود؟ وقتی که هدف شکارتان را تعیین کرده باید منابع که این داده را در اختیار دارند مشخص کرده و به آن ها دسترسی داشته باشید.
  3. چگونه شکار را پیدا می کنید؟ ابزار شکار برای همه تهدیدات یکسان نیست. در این مرحله باید تصمیم بگیرید که نحوه شکار شما چگونه است و به چه ابزاری نیاز دارید.
  4. چه مدت زمان طول می کشد تا آن را بیابید؟ زمانی که برای شکار یک تهدید صرف می کنید باید حساب شده باشد. برای هر شکار یک چارچوب زمانی تعیین کنید تا در صورتیکه به نتایج مطلوب نرسیدید آنرا متوفق کنید و به سراغ شکار بعدی بروید.

پاسخ به این پرسش ها در ابتدای شکار شانس موففقیت را افزایش می دهد. مدل دیاموند انعطاف پذیر و قابل تعمیم است و می توان آن را با مدل های دیگر نظیر kill chain، OODA و غیره برای دستیابی به نتایج بهتر ترکیب کرد.

رویکردهای موجود در مدل دیاموند برای شکار تهدید از چهار محور اصلی آن بدست می آیند:

  1. راهبرد متمرکز بر قابلیت: این شیوه شامل تحلیل قابلیت های مورد استفاده توسط مهاجم علیه شما است. شکار با استفاده از این روش اطلاعاتی پیرامون قربانی ها و اهداف احتمالی مهاجم، زیرساخت و فناوری پشتیبانی کننده قابلیت ها و حتی سر نخ هایی درباره فرد مهاجم در اختیار قرار می دهد. نمونه ای از کاربرد این رویکرد، کشف ارتباط بین بد افزار Duqu و Stuxnet توسط شرکت Symantec و CrySyS است.
  2. راهبرد متمرکز بر قربانی: پراستفاده ترین رویکرد برای شکار تهدید است. در راهبرد متمرکز بر قربانی، نقطه شروع تحلیل انسانی و شکار، اهداف مهاجمان هستند. در این رویکرد متمرکز بر قربانی، مدافعان با اطلاعاتی که از اعلان مهاجمان پیرامون حمله به یک هدف بدست می آورند(از قبل نسبت به اهداف حمله مهاجمان آگاهی دارند)، اقدام به ایجاد قابلیت های دفاعی بر روی اهداف مهاجم(قربانی) می کنند تا شانش شناسایی حمله را افزایش دهند. علاوه براین، بررسی داده مرتبط قربانی می تواند منجر به شناسایی دیگر عناصر مرتبط با مهاجمان در مدل دیاموند شود. هانی پات ها نمونه ای از یک رویکرد متمرکز بر قربانی هستند.
  3. راهبرد متمرکز بر زیرساخت: در این رویکرد بر زیرساخت مهاجم تمرکز می شود. با تحلیل زیرساخت مهاجم، شکارچیان اطلاعاتی درباره عناصر مرتبط با زیرساخت مهاجم بدست می آرودند. این نوع تحلیل می تواند منجر به شناسایی قربانیان دیگر متصل به یک زیرساخت حمله مشابه شود. نمونه ای از شکار مبتنی بر این رویکرد در شکار گروه هکری SKHack توسط شرکت Command Five مورد استفاده قرار گرفت.
  4. راهبرد متمرکز بر مهاجم: سخت ترین رویکرد موجود در مدل دیاموند است. از این رویکرد برای کشف اقدامات مهاجمان، قابلیت های فناورانه و زیر ساخت آن ها استفاده می شود. این رویکرد اطلاعات دقیق و سودمند توبسد می کند، اما نیازمند دسترسی و پایش مداوم مهاجم است. نمونه شکار بوسله این رویکرد به دام انداختن گروه هکری Phonemasters توسط FBI است.
تحلیل نفوذ با دیاموند

رویکردهای تحلیل نفوذ و شکار تهدید در مدل دیاموند

در مدل دیاموند شکار تهدید براساس هریک از محورهای تمرکز فوق شروع می شود اما نباید تنها به استفاده از یک رویکرد محدود شد.  هر یک از محورها می توانند به عناصر دیگر مدل خوراک بدهند. ترکیب رویکردهای مختلف شکار، برای تقویت تحلیل و ایجاد وسعت دید جامع نسبت به مهاجمان توصیه می شود.

در بخش بعدی به بررسی موارد بیشتر رویکردهای شکار بر اساس مدل دیاموند و بررسی نمونه هایی از شکار با استفاده از هر یک می پردازیم

 

 


مهدی صیاد

دانش آموخته کارشناسی ارشد کامپیوتر هستم. بیش از 7 سال در حوزه های مختلف امنیت سایبری ازجمله ارزیابی امنیت، آزمون نفوذ، کشف تهدیدات سایبری و امنیت سامانه های کنترل صنعتی فعالیت دارم. در اینجا از شکار تهدیدات سایبری و تحلیل امنیتی براتون خواهم نوشت.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *