Das Diamanten-Modell (Diamond Model of Intrusion Analysis) ist ein Framework zur Analyse von Cyber-Sicherheitsvorfällen und Bedrohungen. Es wurde entwickelt, um die Attribute von Angriffen zu strukturieren und Beziehungen zwischen verschiedenen Aspekten eines Vorfalls darzustellen. Es dient der Bedrohungsanalyse, der Entwicklung von Abwehrmaßnahmen und der Verbesserung der Reaktion auf Vorfälle.
Das Modell basiert auf vier Kernkomponenten, die die Ecken eines Diamanten darstellen:
Angreifer (Adversary): Identifiziert die Person oder Gruppe, die hinter dem Angriff steckt. Dies beinhaltet Informationen wie Motivation, Fähigkeiten und Ressourcen. Weitere Infos zum Thema <a href="https://de.wikiwhat.page/kavramlar/Angreifer%20(Adversary)">Angreifer (Adversary)</a>.
Infrastruktur (Infrastructure): Bezieht sich auf die physischen oder virtuellen Ressourcen, die vom Angreifer kontrolliert werden, um den Angriff durchzuführen. Dazu gehören Server, Netzwerke und Domänen. Weitere Infos zum Thema <a href="https://de.wikiwhat.page/kavramlar/Infrastruktur%20(Infrastructure)">Infrastruktur (Infrastructure)</a>.
Fähigkeit (Capability): Beschreibt die Werkzeuge, Techniken und Verfahren (TTPs), die der Angreifer verwendet, um den Angriff durchzuführen. Dies kann Malware, Exploits oder Social-Engineering-Taktiken umfassen. Weitere Infos zum Thema <a href="https://de.wikiwhat.page/kavramlar/Fähigkeit%20(Capability)">Fähigkeit (Capability)</a>.
Opfer (Victim): Bezeichnet das Ziel des Angriffs, d.h. die Person, Organisation oder System, das angegriffen wird. Dies beinhaltet Informationen über die Art der Daten, die kompromittiert wurden, und die potenziellen Auswirkungen des Angriffs. Weitere Infos zum Thema <a href="https://de.wikiwhat.page/kavramlar/Opfer%20(Victim)">Opfer (Victim)</a>.
Das Diamanten-Modell geht davon aus, dass jeder Vorfall durch mindestens zwei der vier Komponenten charakterisiert werden kann. Die Beziehungen zwischen diesen Komponenten sind entscheidend für die Analyse und das Verständnis des Angriffs. Die Verbindung zwischen den Komponenten (z.B. ein Angreifer nutzt eine bestimmte Infrastruktur, um ein bestimmtes Opfer mit einer bestimmten Fähigkeit anzugreifen) bildet das sogenannte "Activity-Graph".
Vorteile des Diamanten-Modells:
Anwendung des Diamanten-Modells:
Das Diamanten-Modell kann in verschiedenen Phasen des Incident-Response-Prozesses eingesetzt werden, von der Erkennung und Analyse bis zur Eindämmung und Beseitigung. Es hilft dabei, ein umfassendes Bild des Angriffs zu erstellen und die notwendigen Schritte zur Reaktion zu planen.
Ne Demek sitesindeki bilgiler kullanıcılar vasıtasıyla veya otomatik oluşturulmuştur. Buradaki bilgilerin doğru olduğu garanti edilmez. Düzeltilmesi gereken bilgi olduğunu düşünüyorsanız bizimle iletişime geçiniz. Her türlü görüş, destek ve önerileriniz için iletisim@nedemek.page