Vous êtes sur la page 1sur 93

Abonnez-vous à DeepL Pro pour éditer ce document.

Visitez www.DeepL.com/Pro pour en savoir plus.

Approuvé pour une diffusion publique ; la distribution


est illimitée.

Le modèle d'analyse d'intrusion du


diamant

Sergio Caltagirone Andrew Pendergast


sergio.caltagirone@cciatr.org andrew.pendergast@cciatr.org
Christopher Betz
christopher.betz@cciatr.org

Les analystes du renseignement doivent être conscients de leur


raisonnement. process. Ils doivent réfléchir à la façon dont
ils portent des jugements et tirent des conclusions, et pas
seulement aux jugements et conclusions eux-mêmes.

Richards J. Heuer Jr [1]

L'analyse d'intrusion est autant une question d'accumulation


de données que l'astronomie est une question de télescopes"
Chris Sanders [2].

Résumé

Ce document présente un nouveau modèle d'analyse d'intrusion construit par des analystes,
issu d'années d'expérience, en posant la simple question suivante : "Quelle est la méthode sous-
jacente à notre travail ? Le modèle établit l'élément atomique de base de toute activité
d'intrusion, l'événement, composé de quatre caractéristiques essentielles : l'adversaire,
l'infrastructure, la capacité et la victime. Ces caractéristiques sont reliées entre elles par des bords
représentant leurs relations sous-jacentes et disposées en forme de diamant, ce qui donne son nom
au modèle : le modèle du diamant. Il définit en outre des méta-fonctionnalités supplémentaires
pour soutenir des constructions de plus haut niveau, telles que la liaison d'événements en fils
d'activité et la fusion d'événements et de fils en groupes d'activité. Ces éléments, l' événement, le
fil et le groupe contribuent tous à un modèle fondamental et complet d'activité d'intrusion
construit autour de processus analytiques. Il capture les concepts essentiels de l'analyse des
intrusions et des opérations adverses tout en permettant au modèle de s'étendre et d'englober de
nouvelles idées et de nouveaux concepts. Le modèle établit, pour la première fois, une méthode
formelle appliquant les principes scientifiques à l'analyse des intrusions - en particulier ceux de la
mesure, de la testabilité et de la répétabilité
- fournir une méthode complète de documentation, de synthèse et de relation avec les activités.
Cette approche scientifique et cette simplicité permettent d'améliorer l'efficacité, l'efficience et
la précision des analyses. En fin de compte, le modèle permet d'intégrer le renseignement en

1
temps réel pour la défense du réseau, en automatisant la corrélation entre les événements, en
classant les événements avec confiance dans les campagnes adverses, et en prévoyant les
opérations adverses tout en planifiant et en jouant des stratégies d'atténuation.

2
Contenu
1 Introduction 5

2 Travaux connexes 6

3 Aperçu des modèles de diamants7

4 Événement "Diamant 8
4.1 Adversaire..........................................................................................................11
4.2 Capacité.................................................................................................................. 12
4.2.1 Commandement et contrôle (C2)...............................................................13
4.3 Infrastructure......................................................................................................... 13
4.4 Victime14
4.4.1 Vulnérabilités et expositions14
4.5 Méta-fonctionnalités de l'événement.......................................................................15
4.5.1 Horodatage 15
4.5.2 Phase 15
4.5.3 Résultat16
4.5.4 Direction17
4.5.5 Méthodologie17
4.5.6 Ressources17
4.5.7 Extensions des méta-fonctionnalités.........................................................18

5 Modèle de diamant étendu 19


5.1 Social-politique....................................................................................................... 20
5.1.1 Relations adverses persistantes..................................................................20
5.1.2 Cyber-victimologie......................................................................................23
5.1.3 Espace de menace partagé..........................................................................24
5.2 Technologie............................................................................................................. 24

6 Indicateurs contextuels 25

7 Pivot analytique 26
7.1 Approches "centrées............................................................................................... 26
7.1.1 Approche centrée sur la victime.................................................................26
7.1.2 Approche centrée sur les capacités28
7.1.3 Approche centrée sur l'infrastructure29
7.1.4 Approche centrée sur l'adversaire29
7.1.5 Approche centrée sur la politique sociale29
7.1.6 Approche centrée sur la technologie30

8 Fil d'activité30
8.1 Processus contradictoire36
8.2 Soutien aux hypothèses analytiques36
8.3 Graphique d'activité-attaque39

9 Groupes d'activités40
9.1 Étape 1 : Problème analytique42
9.2 Étape 2 : Sélection des caractéristiques43
9.3 Étape 3 : Création45
9.3.1 Exemple de création d'un groupe d'activités46
9.4 Étape 4 : Croissance46
9.5 Étape 5 : Analyse49
9.6 Étape 6 : Redéfinition49
9.7 Groupe d'activités Familles.....................................................................................49

10 Planification et jeux de hasard51

11 Travaux futurs 54

12 Conclusion55
Liste des chiffres
1 Un événement sur les diamants................................................................................9
2 Un événement prolongé sur les diamants..............................................................19
3 Relations entre adversaires et victimes21
4 Degré de persistance Spectre22
5 Exemple de pivot analytique utilisant le diamant27
6 Exemple de fil d'activité pour les diamants31
7 Exemple de processus inverse pour les diamants37
8 Exemple de graphique d'activité-attaque39
9 Création de groupes d'activités47
10 Croissance des groupes d'activité48
11 Exemple de modèle de diamant et de matrice de plan d'action de la chaîne
d'élimination53
1 Introduction

La discipline de l'analyse des intrusions existe depuis la découverte de la première


intrusion. 1 Les pirates externes et les initiés malveillants, le plus souvent sournois,
s'infiltrent et attaquent pendant que les analystes d'intrusion et les administrateurs
système s'efforcent de découvrir, de comprendre et de contrecarrer leurs opérations. Les
questions n'ont guère changé depuis l'époque de la discipline : le qui, le quoi, le quand, le
où, le pourquoi et le comment. Historiquement, ces questions permettaient de réagir aux
incidents en fonction de l'activité en cours, mais les défenseurs ne disposaient pas des
modèles et des cadres de documentation, de synthèse et de corrélation des activités
nécessaires pour répondre à une question de plus en plus importante : l'adversaire
reviendra-t-il dans le cadre d'une campagne coordonnée ? Pourtant, la question conduit
finalement les organisations à s'éloigner de l'atténuation tactique (contrer l'activité) pour
se tourner vers l'atténuation stratégique (contrer l'adversaire), ce qui augmente l'efficacité
de l'atténuation et le coût de l'adversaire pour mener les opérations.

Ce document présente un nouveau modèle d'analyse d'intrusion construit par des


analystes, issu d'années d'expérience, en posant la simple question : "Quelle est la
méthode sous-jacente de notre travail ? Il tire son nom du modèle de diamant, pour sa
simple organisation des aspects les plus fondamentaux de l'activité malveillante sous la
forme d'un diamant. Notre modèle établit, pour la première fois, une méthode formelle
appliquant des principes scientifiques à l'analyse des intrusions : ceux de la mesure, de la
testabilité et de la répétabilité - fournissant une méthode simple, formelle et complète de
documentation, de synthèse et de corrélation des activités. Cette approche scientifique et
cette simplicité permettent d'améliorer l'efficacité, l'efficience et la précision de l'analyse.

Notre modèle est à la fois simple et complexe, informel et formel, utile pour l'analyse des
menaces tant internes qu'externes. De manière informelle, les analystes comprennent
facilement le modèle, ce qui le rend utile dans le feu de la poursuite au quotidien. Le
modèle est la base d'une ontologie2 et présente un cadre sur lequel on peut découvrir de
nouvelles activités, maximiser les possibilités de pivot analytique, corréler et synthétiser
de nouvelles informations, et poursuivre l'adversaire dans le temps, tout en améliorant la
communication et la documentation.

Formellement, le modèle est un cadre mathématique permettant l'application de la


théorie des jeux, des graphiques et de la classification/classement pour améliorer
l'analyse et la prise de décision. Cette formalité présente plusieurs avantages : des
hypothèses analytiques vérifiables garantissant la répétabilité et la précision des résultats
analytiques, une génération d'hypothèses plus facile, une corrélation automatisée entre
les événements, une classification rapide des événements avec confiance dans les
campagnes adverses, et la prévision des opérations adverses lors de la planification et des
stratégies d'atténuation du jeu. En fin de compte, cette formalité permet au modèle
d'intégrer des renseignements corrélés pour les capacités de défense du réseau, en
évoluant facilement pour adopter de nouvelles infrastructures, capacités et processus
adverses.

Plus important encore, le modèle est délibérément générique et donc extensible et


flexible. Il saisit avec précision les concepts essentiels de l'analyse des intrusions et des
opérations adverses.
1Dans
ce document, le terme "intrusion" est utilisé pour désigner toute activité malveillante et néfaste
visant les systèmes et réseaux informatiques.
2Le
modèle ne présente pas une nouvelle ontologie, taxonomie, format de partage ou protocole, mais par son
fond
La nature mentale devrait en être la base. Ce point de vue est soutenu par d'autres dans [3].
Ces attributs renforcent l'utilité du modèle, lui permettant de se développer et d'englober
de nouvelles idées et de nouveaux concepts.

2 Travaux connexes

En matière d'analyse des intrusions, nous sommes aux côtés d'analystes et d'experts tels
que Stoll [4], Bellovin [5] et Cheswick [6] qui ont découvert et documenté des événements
malveillants avec une formation et des outils peu ou pas formels. Ils se sont souvent
appuyés sur des tonnes de données imprimées pour analyser l'activité et n'ont fait appel
qu'à leur intuition et à leurs compétences techniques. Leur documentation et leurs récits
initiaux ont conduit de nombreux analystes sur la voie de la chasse aux adversaires. Les
analystes d'intrusion modernes poursuivent cette tradition avec des efforts remarquables
et innovants comme le projet Honeynet [7].

Northcutt dans [8] et d'autres ont renforcé la formation analytique en présentant des
exemples d'activités de menace spécifiques et en donnant aux étudiants la possibilité de
comprendre les outils et les techniques de l'adversaire. La formation analytique pratique
dispensée par des organisations telles que la SANS [9] est désormais une source
importante de diffusion des techniques analytiques.

Bien que ces histoires, articles, livres et cours fournissent des arguments solides pour
enseigner les mécanismes de l'analyse des intrusions, ils n'offrent pas l'approche
scientifique nécessaire pour étayer le processus. Sans le modèle sous-jacent (formel ou
informel) pour expliquer comment les analystes évaluent et comprennent les activités
malveillantes, il est difficile, voire impossible, de faire évoluer l'artisanat.

D'autres travaux portent tangentiellement sur l'analyse des intrusions et l'utilisation de la


défense des réseaux basée sur le renseignement. Amann, et al, dans [10], déclare avec
précision : "il devient de plus en plus difficile de signaler de manière fiable les attaques
complexes d'aujourd'hui sans avoir le contexte extérieur à portée de main.
Malheureusement, les IDS [systèmes de détection d'intrusion] actuels ne peuvent pas
intégrer facilement le renseignement..." Leur travail fait progresser de manière
significative la capacité d'un IDS à intégrer en temps réel le contexte externe et les
renseignements sur la menace afin d'accroître le succès de la détection. C'est une capacité
essentielle pour l'atténuation future que le modèle Diamond complète en identifiant
comment les analystes développent de manière efficace, efficiente et précise ce contexte
externe et ces renseignements pour enrichir la détection.

La "chaîne de la mort" fournit un modèle d'opérations adverses très efficace et influent


qui informe directement les décisions d'atténuation [11]. Notre modèle intègre leur
approche progressive et complète l'analyse de la chaîne de destruction en élargissant la
perspective qui fournit la granularité nécessaire et l'expression des relations complexes
entre les activités d'intrusion. Cela permet de représenter l'ensemble des connaissances
plutôt que les seuls indicateurs observables de l'activité. En outre, notre modèle fournit
une méthode mathématique formelle pour une analyse et un regroupement efficaces des
graphes (par exemple, le clustering/la classification) afin de résoudre de nombreuses
classes de problèmes analytiques. Cette caractéristique permet au modèle de prendre en
charge de nombreux cadres de planification stratégique complémentaires tels que la
préparation conjointe du renseignement de l'environnement opérationnel (JIOPE) [12],
les matrices de plans d'action [11], l'algorithme de défense active
(ADAM) [13] et, potentiellement, le développement de stratégies plus "avant-gardistes"
en utilisant des techniques informatiques évolutives telles que [14].

Les graphiques d'attaque traditionnels tentent de générer toutes les voies d'attaque et
vulnérabilités possibles pour un ensemble donné de ressources protégées afin de
déterminer la défense la plus rentable et le plus grand degré de protection. Les
graphiques d'attaque ont été créés à partir des "arbres d'attaque" de Schneier et sont
devenus un outil précieux d'analyse de la vulnérabilité permettant de développer des
stratégies de défense en profondeur efficaces [15]. Jusqu'en 2005, les graphiques
d'attaque ont rencontré des difficultés importantes en termes d'extensibilité, de mesure et
d'utilisation [16]. Cependant, des progrès ont été réalisés en améliorant l'extensibilité
pour les réseaux de taille réelle (17, 18), la mesure (19) et l'utilisabilité (20). Notre modèle
définit un nouveau graphique d'attaque centré sur le renseignement, appelé fils d'activité,
et combine le renseignement et les graphiques d'attaque traditionnels en un graphique
d'attaque par activité. Les graphiques d'attaque par activité fusionnent l'analyse de la
vulnérabilité traditionnelle avec la connaissance de l'activité de l'adversaire. Ils intègrent
ce qui s'est passé avec les vecteurs d'attaque potentiels et préférés, ce qui permet une
analyse plus efficace et l'élaboration de stratégies d'atténuation. Cela permet en fin de
compte une allocation plus efficace des ressources de défense. En outre, des travaux
antérieurs dans [21] ont déjà montré l'applicabilité des graphiques d'attaque directement
dans les systèmes de détection d'intrusion. Cela permet aux fils d'activité et aux processus
adverses développés dans notre modèle d'être directement mis en œuvre dans les
systèmes de détection d'intrusion.

De nombreux systèmes, langues et taxonomies ont été développés pour permettre aux
analystes de documenter les activités malveillantes et de partager les indicateurs [22, 23,
24, 25, 26, 27, 28, 29, 30, 31, 32]. Notre modèle ne propose ni ontologie, ni taxonomie, ni
protocole de partage. Cependant, dans une étude récente sur les ontologies de la
cybersécurité, notre modèle est cité comme étant fondamental et suggère qu'il devrait
servir de base pour regrouper les ontologies existantes et construire les ontologies futures
[3]. En outre, notre modèle soutient l'argument selon lequel pour véritablement intégrer
le renseignement sur les menaces cybernétiques, nous devons éviter de représenter une
activité complexe et profondément relationnelle sous la forme d'une liste simple et plate
d'indicateurs techniques. Nous soutenons que pour parvenir à une atténuation stratégique,
l'activité d'intrusion doit être documentée et partagée en intégrant un contexte non
technique tout en préservant les relations essentielles et complexes.

3 Aperçu des modèles de diamants

Dans sa forme la plus simple (figure 1), le modèle décrit qu'un adversaire déploie une
capacité sur une infrastructure quelconque contre une victime. Ces activités sont appelées
"événements" et constituent les caractéristiques atomiques. Des analystes ou des machines
peuplent les sommets du modèle au fur et à mesure que les événements sont découverts
et détectés. Les sommets sont reliés par des arêtes qui mettent en évidence la relation
naturelle entre les caractéristiques. En pivotant entre les arêtes et à l'intérieur des
sommets, les analystes exposent davantage d'informations sur les opérations de
l'adversaire et découvrent de nouvelles capacités, infrastructures et victimes.

Un événement ne définit qu'une étape d'une série que l'adversaire doit exécuter pour
atteindre son objectif. En tant que tels, les événements sont ordonnés par phase par paire
adversaire-victime en fils d'activité représentant le déroulement des opérations de
l'adversaire. Les événements ET les fils d'activité sont
Les éléments nécessaires à une compréhension complète de l'activité malveillante en tant
qu'atténuation plus efficace et stratégique "exigent une nouvelle compréhension des
intrusions elles-mêmes, non pas comme des événements singuliers, mais plutôt comme
des progressions progressives". [11]

Une fois les fils d'activité établis, les événements peuvent alors être corrélés entre eux pour
identifier les campagnes adverses, et fusionnés en groupes d'activité pour identifier les
événements et les menaces similaires qui partagent des caractéristiques communes. Ces
groupes d'activités peuvent être utilisés pour la corrélation automatisée des événements
ainsi que pour le jeu et la planification d'options et de scénarios d'atténuation établissant
des plans stratégiques d'atténuation contre l'adversaire.

Les termes et concepts susmentionnés seront décrits et discutés plus en détail dans les
sections suivantes, en commençant par l'élément atomique du modèle - l'événement
diamant.

4 Événement "Diamant

Axiome 1 Pour chaque intrusion, il existe un adversaire qui fait un pas vers le but visé en
utilisant une capacité sur l'infrastructure contre une victime pour produire un résultat.

Un événement définit une activité discrète, limitée dans le temps et limitée à une phase
spécifique, dans laquelle une annonce, nécessitant des ressources externes, utilise une
capacité et une méthodologie sur une infrastructure quelconque contre une victime avec un
résultat donné. Bien entendu, il n'est pas nécessaire de connaître toutes les
caractéristiques pour créer un événement. Dans presque tous les cas, la plupart des
caractéristiques sont censées être inconnues et n'être utilisées qu'après la découverte
initiale, lorsque de nouveaux faits sont révélés et que davantage de données sont
recueillies.

Caractéristiques de base Les caractéristiques de base d'un événement sont :


l'adversaire, la capacité, l'infrastructure et la victime.

Méta-fonctionnalités Les méta-fonctionnalités sont : l'horodatage (début et fin), la


phase, le résultat, la direction, la méthodologie et les ressources. Les méta-fonctionnalités
§
sont utilisées pour ordonner les événements dans un fil d'activité ( 8 ), regrouper des
événements similaires de différentes manières et saisir les connaissances critiques lorsque
cela est possible.

Valeur de confiance Chaque caractéristique de l'événement, qu'il s'agisse d'une


caractéristique principale ou d'une méta caractéristique, a une valeur de confiance
associée. Cette valeur est laissée volontairement indéfinie car chaque mise en œuvre de
modèle peut comprendre la confiance différemment. En outre, la confiance est
probablement fonction de valeurs multiples, telles que la confiance d'une conclusion
analytique et/ou l'exactitude d'une source de données. Le cas échéant, la valeur de la
confiance peut également être détaillée sous la forme d'un sous-tuple afin de mieux saisir
les éléments individuels de la confiance.
Phase d'horodatage des méta-fonctionnalités
Adversaire
Ressources sur la méthodologie de la direction des résultats

Infrastructure Capacité

Victime

Figure 1 : Le modèle d'analyse d'intrusion Diamond, comprenant les caractéristiques


essentielles d'un événement d'intrusion : adversaire, capacité, infrastructure et victime.
Les caractéristiques de base sont reliées par des bords pour représenter les relations
fondamentales entre les caractéristiques qui peuvent être exploitées analytiquement pour
découvrir et développer la connaissance des activités malveillantes. Les méta-fonctions
sont également énumérées et, bien qu'elles ne soient pas des caractéristiques de base,
elles soulignent leur importance dans les fonctions d'analyse, de regroupement et de
planification d'ordre supérieur.
L'un des avantages du modèle est qu'il fournit une liste efficace (mais pas nécessairement
complète) des caractéristiques qui devraient être présentes dans chaque événement. Par
conséquent, après avoir documenté un événement avec toutes les informations
disponibles, les caractéristiques vides sont maintenant identifiées comme des lacunes
dans les connaissances, ce qui devrait encourager un pivotement supplémentaire pour
combler ces lacunes.

Un événement, E , est formellement défini comme un n-tuple étiqueté où chaque


élément du tuple est la connaissance d'une caractéristique combinée à une valeur de
confiance indépendante. 3

E = ((Adversaire, Confianceadversaire),
(Capacité, Confiancecapacité),
(Infrastructure,
Confianceinfrastructure), (V ictim,
Con f i a nc evi c t i m e ),
(Horodatage, Confiancehorodatage ),
(Horodatage, Confiancehorodatage ),
(Phase , Phase de confiance),
(Résultat , Confidenceresult),
(Direction, Confiancedirection),
(Méthodologie,
Confianceméthodologie),
(Ressources, Confidenceresources))

Pour plus de flexibilité, le n-uplet de base peut être développé en une hiérarchie de paires
ordonnées emboîtées (appelées sous-tuples ici pour plus de simplicité) afin de mieux
définir une caractéristique particulière et de capturer des connaissances pour une
corrélation future.

Un exemple d'extension de la fonction de victime pour fournir une définition plus précise
avec des informations telles que : l'organisation victime, l'adresse IP de l'hôte, le nom de
l'hôte (c'est-à-dire le nom d'hôte), l'application qui a été exploitée et le port TCP utilisé
pour exploiter l'application4
3L'
événement est un n-tuple de taille variable, plutôt que fixe, car le modèle n'est pas limité aux
caractéristiques définies ici et peut être élargi pour inclure d'autres éléments d'intérêt, comme ceux du
§
Diamant étendu 5. Une fois qu'une organisation a défini l'ensemble de ses caractéristiques, la taille du n-
uplet sera formellement définie pour ce cas particulier.
4Notez
que dans l'exemple, chaque sous-fonction de Victime a une valeur de confiance indépendante, mais on
pourrait
mettent également en œuvre le modèle dans lequel une valeur de confiance est simplement appliquée à toutes les
sous-fonctions.
(V ictim, Confidencevictim) =
((Organisation,
ConfidenceOrganisation),
(HostIPAddress, ConfidenceIP ),
(Hostname, ConfidenceHostname),
(Application, ConfidenceApplication),
(TCPPort, ConfidenceT CP P ort))

À des fins d'analyse, l'événement peut également être compris et représenté sous forme de
graphique, comme l'illustre la figure 1. Sous cette forme, les bords représentent les
relations naturelles entre les caractéristiques d'un événement et identifient ce qui est
normalement visible/découvrable du point de vue de § cette caractéristique grâce au
pivotement (décrit plus en détail au point 7). Les caractéristiques de base (adversaire,
capacité, infrastructure et victime) constituent un graphique simple, non orienté et
marqué par un sommet. Un événement organisé par le graphe, E, est ainsi défini :

Evertices ={Averse,
Infrastructure, capacité,
V ictim}

Eedges = {{Averse, capacité},


{Adversaire, Infrastructure},
{Infrastructure, capacité},
{Infrastructure, V ictim},
{Capacité, V ictim}}

4.1 Adversaire

Axiome 2 Il existe un ensemble d'adversaires (initiés, étrangers, individus, groupes et


organisations) qui cherchent à compromettre les systèmes ou les réseaux informatiques
pour faire avancer leurs intentions et satisfaire leurs besoins.

Un adversaire est l'acteur/organisation responsable de l'utilisation d'une capacité contre


la victime pour réaliser son intention. La connaissance de l'adversaire est généralement
insaisissable et cette caractéristique est susceptible d'être vide pour la plupart des
événements - du moins au moment de la découverte.
La plupart du temps, lorsque nous analysons les aspects techniques d'un événement, nous
désignons simplement l'opérateur adverse comme étant l'adversaire. Cependant, la
distinction entre l'opérateur adverse et le client est importante pour comprendre
l'intention, l'attribution, l'adaptabilité et la persistance en aidant à encadrer la relation
entre une paire d'adversaires et de victimes. Nous avons donc trouvé ces distinctions
importantes:5

Opérateur Adversaire C'est le véritable "hacker" ou la ou les personnes qui mènent


l'activité d'intrusion.

Client Adversaire Cette entité est susceptible de bénéficier de l'activité menée dans le
cadre de l'intrusion. Elle peut être la même que l'opérateur adverse, ou il peut s'agir d'une
personne ou d'un groupe distinct.

Par exemple, un client adversaire disposant de ressources importantes pourrait, à


différents moments ou simultanément, diriger différents opérateurs, chacun ayant ses
propres capacités et infrastructures, vers une victime commune poursuivant des objectifs
communs ou séparés. 6 En revanche, un opérateur adversaire isolé peut avoir accès à
moins de capacités et d'infrastructures pour mener à bien ses activités tout en n'ayant pas
la possibilité de contourner la simple atténuation.

La connaissance des motivations et des ressources d'un opérateur adversaire et de son


client, s'il existe en tant qu'entité distincte, aidera à mesurer la menace et le risque réels
pour la victime, ce qui permettra de les atténuer plus efficacement. Ces motivations sont
des besoins sociopolitiques expliqués plus loin dans le Diamant étendu (§5).

4.2 Capacité

La caractéristique de capacité décrit les outils et/ou les techniques de l'adversaire utilisés
lors de l'événement. La flexibilité du modèle permet de décrire la capacité avec une
fidélité suffisante. Nous souhaitons que la capacité soit comprise au sens large et qu'elle
comprenne tous les moyens permettant d'affecter la victime, depuis les méthodes "non
sophistiquées" les plus manuelles (par exemple, deviner manuellement un mot de passe)
jusqu'aux techniques automatisées les plus sophistiquées.

Capacité Capacité Toutes les vulnérabilités et expositions qui peuvent être utilisées par
la capacité individuelle, quelle que soit la victime, sont considérées comme sa capacité.
5Bien que
certaines distinctions et catégories de caractéristiques soient suggérées tout au long de ce
travail comme étant utiles pour l'analyse quotidienne, aucune prétention à l'exhaustivité n'est faite ni aucune
suggestion que ces distinctions forment une ontologie ou une taxonomie, et elles ne sont pas non plus
requises par le modèle.
6Des
activités diverses orchestrées par une autorité supérieure peuvent être modélisées et organisées dans le
cadre du modèle
en tant que familles de groupes d'activités ( §9.7).
Arsenal de l'adversaire L'ensemble des capacités d'un adversaire, et donc les capacités
combinées de ses capacités individuelles, constitue l'arsenal de l'adversaire.

Si la capacité de la capacité est connue, elle doit être documentée comme un sous-tuple
de la capacité ainsi que les trajectoires potentielles§sur un graphique d'activité-attaque (
8.3). Cette documentation initiale des capacités d'un annonceur peut s'enrichir
§ au fil du
temps avec l'analyse du groupe d'activités ( 9.5) qui permet de connaître son arsenal. Il
s'agit d'informations précieuses pour les décisions et la planification en matière
d'atténuation, qui permettent de prévoir les actions et les réactions potentielles de
l'adversaire.

4.2.1 Commandement et contrôle (C2)

Le commandement et le contrôle (C2) est l'exercice de l'autorité et de la direction sur les


biens par un commandant [33]. Dans l'analyse des intrusions, cela signifie que les canaux,
les structures de communication, les signaux, les protocoles et le contenu vers ou en
provenance de l'adversaire sont destinés à provoquer un effet (par exemple, obtenir
l'accès, supprimer délibérément l'accès, exfiltrer des données, envoyer des paquets
d'attaque) faisant progresser l'adversaire vers la réalisation de ses objectifs.

Si le commandement et le contrôle peuvent prendre de nombreuses formes, il est en fin


de compte déterminé par la capacité d'utilisation.
§ En termes de pivotement analytique (
7 ), un analyste pivote sur C2 en découvrant la communication entre l'infrastructure et les
victimes. Par conséquent, pour les besoins de notre modèle, le commandement et le
contrôle sont mieux compris comme une sous-fonction de la capacité.

4.3 Infrastructure

La caractéristique d'infrastructure décrit les structures de communication physiques et/ou


logiques que l'adversaire utilise pour fournir une capacité, maintenir le contrôle des
capacités (par exemple, commande et contrôle/C2), et les résultats des effets de la victime
(par exemple, exfiltrer des données). Comme pour les autres caractéristiques,
l'infrastructure peut être aussi spécifique ou large que nécessaire. En voici quelques
exemples : Les adresses IP, les noms de domaine, les adresses électroniques, les
clignotements en morse de la boîte vocale d'un téléphone observé depuis l'autre côté de la
rue, les dispositifs USB trouvés dans un parking et insérés dans un poste de travail, ou les
émanations compromettantes de matériel (par exemple, le Phreaking Van Eck [34])
recueillies par un poste d'écoute voisin. Nous estimons que les distinctions suivantes entre
les rôles des infrastructures sont raisonnables pour la plupart des analyses d'intrusion.

Infrastructure de type 1 Infrastructure qui est entièrement contrôlée ou détenue par


l'adversaire ou qui peut se trouver à proximité physique.
Infrastructure de type 2 Infrastructure qui est contrôlée par un intermédiaire
(volontaire ou non). En général, il s'agit de l'infrastructure qu'une victime considère
comme l'adversaire. Elle sert à dissimuler l'origine et l'attribution de l'activité.
Infrastructures de type 2
comprend les hôtes zombies, les serveurs de mise en scène de logiciels malveillants, les
noms de domaine malveillants, les points de passage, les comptes de courrier
électronique compromis, etc.

Fournisseurs de services Organisations qui (consciemment ou non) fournissent des


services critères de disponibilité des infrastructures adverses de type 1 et de type 2 (par
exemple, fournisseurs de services Internet, bureaux d'enregistrement de domaines,
fournisseurs de courrier électronique).

4.4 Victime

Une victime est la cible de l'adversaire et contre laquelle les vulnérabilités et les
expositions sont exploitées et les capacités utilisées. Comme pour les autres
caractéristiques, une victime peut être décrite de la manière nécessaire et appropriée :
organisation, personne, adresse électronique cible, adresse IP, domaine, etc. Toutefois, il
est utile de définir la personne de la victime et ses biens séparément, car ils remplissent
différentes fonctions analytiques. Les§§personae des victimes sont utiles dans les analyses
non techniques telles que la cyber-victimologie ( 5.1.2) et les approches centrées sur la
politique sociale ( 5.1) alors que les avoirs des victimes sont associés à des approches
techniques communes telles que l'analyse de la vulnérabilité.

Victime Persona Les victimes Personae sont les personnes et les organisations visées
dont les biens sont exploités et attaqués. Il s'agit notamment des noms d'organisations,
des noms de personnes, des secteurs d'activité, des fonctions, des intérêts, etc.

Les biens de la victime Les biens de la victime sont la surface d'attaque et consistent en
l'ensemble des réseaux, systèmes, hôtes, adresses électroniques, adresses IP, comptes de
réseau social, etc. contre lesquels l'adversaire dirige ses capacités. Les biens des victimes
existent souvent à la fois à l'intérieur et à l'extérieur du contrôle et de la visibilité d'une
personne, mais ils sont toujours disponibles pour être ciblés par un adversaire. Les
comptes de messagerie électronique et le stockage de données dans le nuage en sont des
exemples courants.

Un actif de la victime peut être la cible finale (par exemple, la victime) dans un événement
et ensuite être utilisé comme infrastructure dans d'autres événements (probablement une
infrastructure
§ de type 2, comme décrit précédemment au point 4.3). De cette manière, il
faut toujours veiller à ce que la cible apparente de l'activité ne soit pas nécessairement la
victime.

4.4.1 Vulnérabilités et expositions

Axiome 3 Chaque système, et par extension chaque actif de la victime, présente des
vulnérabilités et des expositions.
Les capacités adverses exploitent les vulnérabilités et les expositions définies par l'Axiome
3 pour atteindre leur objectif. La flexibilité du modèle permet de les définir comme une
sous-fonction de la victime. Elles peuvent être décrites de manière aussi générale que le
"manque d'éducation des utilisateurs qui entraîne le clic sur les hyperliens transmis par
courriel" ou aussi spécifique qu'un CVE [35] pour répondre aux exigences de
documentation de l'événement.

Sensibilités des victimes L'ensemble des vulnérabilités et des expositions d'une


victime susceptible d'être exploitée est appelé "susceptibilités des victimes".

Dans notre modèle, la liste des susceptibilités de la victime est facilement exprimée sous
la forme d'un sous-tuple de la victime. Cette information est précieuse lorsqu'elle est
comparée à la capacité de la victime et à l'arsenal de l'adversaire (§4.2) pour déterminer
les options d'atténuation. Comme pour la capacité capacitaire, cela peut être
décrites alternativement ou conjointement à l'aide de graphiques d'attaque d'activité (voir
§8.3).

4.5 Méta-fonctionnalités de l'événement

Les méta-fonctionnalités de l'événement élargissent légèrement le modèle pour inclure


des éléments non critiques, mais importants, des événements de Diamond. Les méta-
fonctionnalités décrites ici sont celles que nous trouvons les plus utiles, mais le modèle ne
se limite pas à celles-ci. Ceux qui mettent en œuvre ou étendent notre modèle peuvent
souhaiter ajouter des méta-fonctionnalités supplémentaires pour saisir d'autres éléments
d'information critiques associés à un événement.

4.5.1 Horodatage

Chaque événement est noté avec une date et/ou une heure à laquelle il s'est produit. Elle
peut être aussi précise que nécessaire ou exprimée sous la forme d'une plage de valeurs
indiquant l'heure de début et de fin de l'événement. L'horodatage fait partie intégrante du
regroupement des activités malveillantes, car il permet de réduire la confiance dans la
connaissance au fil du temps (c'est-à-dire une fonction de décroissance), la probabilité de
changements adverses augmentant avec le temps. De plus, les horodatages combinés à
une collection d'événements adverses dans le temps peuvent conduire à d'autres formes
uniques d'analyse, telles que l'établissement de la périodicité et la déduction du modèle
de vie comme dans [6].

4.5.2 Phase

Axiome 4 Toute activité malveillante comporte deux ou plusieurs phases qui doivent
être réussies - entièrement exécutées l'une après l'autre pour atteindre le résultat
souhaité.
Les activités malveillantes ne se produisent pas lors d'un seul événement, mais plutôt lors
de deux ou plusieurs événements. D'autres ont fourni des preuves suffisantes pour
soutenir la conclusion que toute activité d'intrusion doit être considérée comme une
chaîne d'événements [11, 36, 15]. Par exemple, un adversaire doit d'abord trouver le
victime (généralement par la recherche et/ou le balayage) puis découvrir un hôte
vulnérable, suivi par l'exploitation, l'établissement d'un commandement et d'un contrôle,
et enfin par des opérations d'un type ou d'un autre. Souvent, différentes capacités et
parfois différentes infrastructures sont utilisées au cours des phases d'une intrusion. Au
minimum, une victime doit d'abord être identifiée (ce qui pourrait être aussi simple que
la sélection d'une adresse IP aléatoire), puis une action doit être effectuée.

Notre modèle peut utiliser n'importe quel modèle d'opérations adverses par étapes
(comme [11, 36, 15]). 7 Plus tard, cela devient une caractéristique importante car la phase
de l'événement décrit son emplacement dans le fil d'activité (§8).

Bien que l'Axiom 4 garantisse un ensemble de phases pour chaque activité, il n'y a pas eu
de consensus ou de preuve qu'il existe un ensemble de phases satisfaisant la
caractérisation de toute activité malveillante. En fait, l'existence d'un si grand nombre de
définitions d'activités à phases multiples laisse supposer qu'il en est autrement, par
exemple [36, 11]. Par conséquent, nous supposerons que les utilisateurs du Diamant
peuvent définir des phases non essentielles pour certaines activités.

Formellement, les phases, P, sont définies comme un n-tuple ordonné, où n est le nombre
de phases qu'un utilisateur de modèle a défini comme nécessaire et suffisant pour décrire
tous les événements possibles et la phase de chaque événement est un, et seulement un,
élément du n-uplet ordonné P :

P = (p1, p2, ... , pn)

Où :

• n ≥ 2 (il existe au moins deux phases, comme l'exige l'Axiom 4)

• p est une phase dans la chaîne des opérations adverses

• p1 est la première phase des opérations d'un adversaire

• pn+1 est une phase exécutée postérieurement à pn

4.5.3 Résultat

Bien que les résultats et les conditions ultérieures des opérations d'un adversaire ne
soient pas toujours connus, ou qu'ils aient une grande valeur de confiance lorsqu'ils sont
connus, il est utile de les saisir. Il est particulièrement utile d'examiner les opérations
d'un adversaire pour déterminer leur taux de réussite avec des capacités particulières ou
contre des sous-ensembles de victimes. Un ensemble de conditions postérieures peut
également fournir une vue plus large de l'intention de l'adversaire.
() Il existe plusieurs
façons de documenter potentiellement le résultat. Une méthode consiste à utiliser le triple
critère de réussite, d'échec et d'inconnu. Une autre consiste à les séparer par les
principes fondamentaux de sécurité : Confidentialité compromise, Intégrité
7 L'
identification d'une phase pour chaque événement n'est pas essentielle pour maintenir les
connaissances et corréler les événements, mais elle est utile pour la planification de l'atténuation et l'analyse
de la chaîne de la mort.
Compromis, et disponibilité compromise. Alors qu'une autre approche pourrait
documenter toutes les conditions post-événement résultant de l'événement, telles que les
informations de ciblage obtenues (lors de la phase de reconnaissance) ou les mots de
passe exfiltrés plus tard utiles lors d'attaques masquées. En outre, on pourrait utiliser une
taxonomie existante pour les résultats des attaques, comme les catégories décrites par
Cohen dans [26].

4.5.4 Direction

La directivité d'un événement est importante lorsque les options d'atténuation et le lieu de
détection sont pris en compte. Cette méta-fonctionnalité est généralement utile pour
décrire les événements basés sur le réseau, mais peut également être utile pour décrire les
événements basés sur l'hôte. Il y a généralement sept valeurs possibles pour cette
fonctionnalité : Victime à infrastructure, Infrastructure à victime, Infrastructure à
infrastructure, Adversaire à infrastructure, Infrastructure à adversaire, Bidirectionnel ou
Inconnu. En conservant ces informations et en tenant compte de l'orientation de l'activité
de l'adversaire dans le temps, il est possible de prendre de meilleures décisions quant à la
combinaison de mesures de détection et d'atténuation à prendre uniquement à
l'extérieur, à l'extérieur ou à l'intérieur pour contrer l'adversaire.

4.5.5 Méthodologie

La méta-fonctionnalité de la méthodologie permet à un analyste de décrire la classe


générale d'activité, par exemple : courrier électronique spear-phish, attaque de livraison
de contenu, syn flood, scan de port, etc. Comme pour d'autres types de fonctionnalités,
cela permet également de donner plusieurs définitions si nécessaire. Par exemple, un
courriel malveillant de harponnage avec un logiciel malveillant en pièce jointe peut être
classé à la fois comme un "courriel de harponnage" et comme une "attaque par livraison
de contenu". Alors qu'un courrier électronique de harponnage avec un lien hypertexte
menant l'utilisateur à un site web malveillant peut être classé à la fois comme un
"courrier électronique de harponnage" et comme une "exploitation de redirection
d'utilisateur". Cette méthode permet de mieux catégoriser les événements et de comparer
les événements indépendamment des indicateurs, à la fois pour un seul adversaire et pour
l'ensemble des adversaires.
(§9) et à des fins d'atténuation.

Plusieurs taxonomies existantes pourraient facilement être intégrées à cette


fonctionnalité, ce qui réduirait les efforts et augmenterait l'interopérabilité avec les cadres
existants. Parmi les exemples, on peut citer les classes de Snort [37] et de nombreuses
autres études plus formelles [25, 29, 26, 28].

4.5.6 Ressources

Axiome 5 Tout événement d'intrusion nécessite une ou plusieurs ressources externes pour
être satisfaite avant de réussir.
La méta-fonctionnalité des ressources énumère une ou plusieurs ressources externes dont
l'événement a besoin pour être satisfait. Les ressources doivent être comprises au sens
large comme tous les éléments de soutien dont dépend l'événement, et donc chaque
élément central et méta-fonctionnalité. Cette méta-fonctionnalité devient importante
lorsque les stratégies d'atténuation des contraintes sur les ressources et du centre de
gravité sont prises en compte, ainsi que l'identification des lacunes dans les
connaissances et la vérification des hypothèses, comme décrit
plus loin au §8.2.

De toute évidence, cette méta-fonctionnalité pourrait être envisagée comme englobant un


nombre insurmontable d'éléments. Toutefois, comme pour les autres caractéristiques, le
modèle du diamant n'exige pas d'être complet, mais seulement suffisant. Par conséquent,
une organisation doit seulement énumérer les ressources nécessaires à leur mise en
œuvre pour qu'elles soient efficaces pour leur(s) utilisation(s) particulière(s).

Voici quelques exemples de ressources :

• Logiciels (par exemple, métasploit, systèmes d'exploitation, logiciels de virtualisation)

• Connaissances (par exemple, comment faire fonctionner le métasploit, où obtenir des


exploits)

• Informations (par exemple, un nom d'utilisateur/mot de passe à masquer)

• Matériel (par exemple, postes de travail, serveurs, modems)

• Fonds (par exemple, crédit pour l'achat de domaines)

• Installations (par exemple, électricité, logement)

- Accès (par exemple, un chemin d'accès au réseau de l'hôte d'origine à la victime et


• vice versa, une adresse IP routable et l'accès au réseau d'un fournisseur de services
Internet (ISP))

4.5.7 Extensions des méta-fonctionnalités

Plusieurs méta-fonctionnalités ont été décrites qui fonctionnent bien intégrées dans le
modèle. Il existe de nombreuses autres méta-fonctionnalités d'un événement d'intrusion
malveillante dont l'inclusion peut être envisagée en fonction des besoins de l'organisation
: la source de données (la source des données qui ont capturé ou détecté l'événement),
l'auteur (l'analyste-auteur de l'événement), la méthode de détection (l'outil, la technique ou
la capacité qui a détecté l'événement malveillant), la signature de détection (la signature ou
l'heuristique qui a détecté l'événement malveillant), etc. L'ajout de méta-fonctionnalités
supplémentaires améliorera le modèle en permettant aux utilisateurs, aux analystes et
aux organisations de conserver des informations importantes associées à un événement
en vue d'une utilisation future (comme la recherche d'efficacité ou le crédit de
découverte/auteur, l'affinement des analyses, la compréhension des intervalles de confiance,
le contrôle de la qualité, etc.)
Phase
d'horodatage Adversaire
des méta-
fonctionnalités Social-
politique
Ressources sur
la
méthodologie
de la direction
des résultats

Infrastructure Capacité
Technologie

Victime

Figure 2 : Le modèle de diamant étendu illustre les caractéristiques sociales, politiques et


technologiques uniques. Ces caractéristiques mettent en évidence les relations
particulières entre l'adversaire-victime (à travers les besoins, les aspirations et les
motivations socio-politiques de l'adversaire et la capacité de la victime à satisfaire ces
besoins) et la capacité-infrastructure (à travers la technologie utilisée pour permettre leur
communication).

5 Modèle de diamant étendu

Comme décrit précédemment, le modèle du diamant s'étend facilement pour inclure


d'autres caractéristiques nécessaires. Comme l'illustre la figure 2, deux autres méta-
fonctionnalités fondamentales de toute activité d'intrusion sont : la méta-fonctionnalité
socio-politique déterminant la relation Adversaire-Victime, et la méta-fonctionnalité
technologique permettant à la fois l'infrastructure et les capacités. Ces deux caractéristiques
uniques se superposent à deux autres caractéristiques définissant inextricablement une
relation : l'une se situe sur l'axe adversaire-victime, l'autre sur l'axe capacité-
infrastructure.
5.1 Social-politique

Axiome 6 Une relation existe toujours entre l'Adversaire et sa ou ses victimes, même
si elle est lointaine, fugace ou indirecte.

Les paires adversaire-victime sont basées sur une relation producteur-consommateur qui
n'est pas liée aux besoins et aux aspirations socio-politiques de l'adversaire (par exemple,
générer des revenus, se faire accepter par la communauté des pirates, devenir un
hégémon, augmenter les profits de l'entreprise). 8 La relation dénote le(s) besoin(s) de
l'adversaire et la capacité de la victime à satisfaire le(s) besoin(s) définissant l'intention de
l'adversaire (par exemple, l'espionnage économique, l'espionnage traditionnel, la fraude
criminelle, l'attaque par déni de service, la dégradation de sites web). La victime fournit
involontairement un "produit" (par exemple, des ressources informatiques et de la bande
passante en tant que zombie dans un réseau de zombies, une cible pour la publicité, des
informations industrielles ou commerciales sensibles pour l'espionnage économique, des
informations financières et des noms/mots de passe pour la fraude) tandis que
l'adversaire "consomme" son produit.

Intention Bien que l'intention soit un aspect essentiel de la compréhension de l'activité


d'intrusion et qu'elle devrait fortement influencer les décisions d'atténuation, elle n'est
pas incluse comme une méta caractéristique fondamentale de haut niveau du Diamant,
mais s'intègre mieux comme une caractéristique d'un sous-tuple sociopolitique
permettant d'émettre des hypothèses sur des besoins et des aspirations d'ordre supérieur.

5.1.1 Relations adverses persistantes

Les axes 2 et 6 peuvent être combinés pour indiquer qu'il y a des adversaires et qu'ils
établissent inexplicablement une relation avec leur(s) victime(s). Cependant, tous les
navires de la relation Adversaire-Victime ne sont pas égaux. Certains adversaires
exécutent des opérations "smash and grab" sans se soucier de l'accès ou des données au-
delà de ce qui est immédiatement disponible, sans se soucier de perdre l'accès à tout
moment. D'autres adversaires persistent obstinément dans leurs efforts contre certaines
victimes, même en dépit d'importantes mesures d'atténuation. Certains adversaires vont
même jusqu'à exercer des représailles contre ceux qui limitent leurs activités [6]. La
persistance de l'adversaire à continuer d'obtenir l'accès et/ou des informations d'une
victime est une caractérisation possible, bien qu'importante, de la relation entre
l'adversaire et la victime.

En tant que tel, et compte tenu des preuves de relations persistantes et non persistantes,
l'axiome suivant peut être avancé :
8Le
terme social-politique est soigneusement choisi pour catégoriser le vaste ensemble de besoins et
d'aspirations de la majorité des adversaires, qui comprend, sans s'y limiter, les individus, les
partenariats, les collectifs peu organisés, les groupes hiérarchisés, les acteurs non étatiques et étatiques.
Leurs besoins peuvent être décrits de manière générale en termes sociaux et politiques. On pourrait
soutenir que la politique est une extension des besoins sociaux, celle des individus qui s'organisent sous
l'autorité pour satisfaire les désirs collectifs. Cependant, nous pensons que la séparation de ces deux
termes permet d'obtenir le meilleur équilibre entre le dialogue sur les besoins des individus/groupes non
étatiques et les besoins de l'autorité (par exemple, le gouvernement ou l'armée) et la manière dont ces
besoins influencent la sélection des victimes et donc les décisions d'atténuation.
Tous les adversaires-victimes
Relations

Persistant
Relations entre adversaires et victimes

Figure 3 : Un diagramme de Venn illustrant l'ensemble de toutes les relations adversaire-


victime telles que définies par les axes 2 et 6 ainsi que le sous-ensemble des relations
adverses persistantes définies par l'axe 7.

Axiome 7 Il existe un sous-ensemble de l'ensemble des adversaires qui ont la


motivation, les ressources et les capacités nécessaires pour soutenir les effets
malveillants pendant une période de temps significative contre une ou plusieurs
victimes tout en résistant aux efforts d'atténuation. Les relations entre les adversaires
et les victimes dans ce sous-ensemble sont appelées relations adverses persistantes.

Adversaire persistant Un adversaire persistant est un adversaire qui satisfait à


l'Axiome 7 dans une relation Adversaire-Victime particulière.

La figure 3 illustre la relation entre l'ensemble complet des relations adversaire-victime


définies par les axes 2 et 6 et le sous-ensemble des adversaires persistants défini par l'axe
7. Le classement d'une relation adversaire-victime dans l'un de ces ensembles est
déterminé par la satisfaction de l'axe 7.

Il n'est pas nécessaire que, parce qu'un adversaire est persistant contre une victime, il soit
persistant contre toutes les victimes. Par exemple, dans une activité, l'adversaire peut y
accéder, déterminer qu'elle n'a aucune valeur et partir sans se soucier de la persistance.
Par contre, dans une autre activité, l'adversaire peut persister beaucoup plus longtemps
afin d'acquérir une plus grande valeur. D'un autre côté, une victime peut être l'hôte de
plusieurs adversaires dont certains peuvent être persistants alors que d'autres ne le sont
pas. Par conséquent, la persistance ou la non-persistance est déterminée par le couple
particulier adversaire-victime.
La figure 4 : spectre du degré de persistance montre que les relations entre adversaires ne
sont pas toutes égales, mais qu'elles se situent plutôt dans un spectre entre fugace et
durable. Le degré de persistance d'une relation adversaire-victime particulière est
fonction de nombreux éléments et évolue également dans le temps.

En outre, la persistance n'est pas une caractéristique binaire ni statique. Alors qu'il est
bien connu que de nombreuses intrusions persistantes peuvent être atténuées par des
mesures techniques, comme dans Stoll [4], Cheswick dans "Berferd" [6] montre que
certains adversaires résistent aux mesures techniques et même aux tentatives
d'humiliation publique. Dans le cas de "Berferd", l'atténuation a finalement été obtenue
par un appel téléphonique aux mères des pirates. Par conséquent, le degré de persistance

Corollaire 1 Il existe divers degrés de persistance de l'adversaire, qui reposent sur les
fondements de la relation entre l'adversaire et la victime.

varie et nous proposons le corollaire suivant :

Le degré de persistance décrit la force de la motivation et des capacités de l'adversaire ainsi


que les efforts et les ressources qu'il déploiera pour maintenir son effet. Le degré de
persistance se manifeste sur un spectre allant de fugace à très durable, comme l'illustre la
figure 4, et détermine dans de nombreux cas la quantité d'efforts et de ressources dont un
défenseur a besoin pour résister à la persistance. Plus la motivation et la capacité de
l'adversaire sont fortes et plus il résiste à l'atténuation, ce qui équivaut à une relation
persistante plus durable se déplaçant vers la droite du spectre.

Traditionnellement, l'atténuation a été limitée à des moyens techniques tournant autour


de la capacité de l'adversaire et n'a eu que peu d'impact sur sa motivation et ses
ressources, ce qui a entraîné le retour de l'adversaire peu après avoir été éloigné de la
victime. En faisant de la relation sociopolitique et des besoins et aspirations qui y sont
associés un élément clé de l'activité malveillante, le Diamant permet l'application de
domaines non traditionnels tels que la psychologie, la criminologie, la victimologie, le
marketing, le comportement des consommateurs et l'économie pour élargir les options
d'atténuation. En particulier, il étaye la prise de décision de l'adversaire et sa préférence
perçue en mettant en évidence les variables et les aspects qui peuvent être contrôlés et
influencés en faveur du défenseur en plus des options techniques traditionnelles.

Voici quelques-uns des éléments de la relation Adversaire-Victime qui déterminent le


degré de persistance :

- La force relative des besoins de l'adversaire que la victime satisfait par rapport à
• d'autres besoins

• Le risque que l'adversaire perçoit dans les effets continus


• Le coût de l'adversaire nécessaire pour maintenir l'effet

• L'unicité de la victime pour satisfaire un besoin particulier

• La satisfaction continue du besoin par la victime

• Le niveau d'effort et de ressources qu'un défenseur dépense pour résister à la persistance

Pour les relations adverses persistantes ou non persistantes, le placement sur le spectre
est unique à chaque paire adversaire-victime. Pour faciliter la référence et l'analyse, et
sans négliger la complexité et le continuum que représente le spectre, nous considérons
généralement deux classes de victimes sur le spectre : les victimes d'opportunité et les
victimes d'intérêt.

Victime d'opportunité Une victime qui est une marchandise non réutilisable dans les
opérations d'un adversaire où la perte d'accès ne serait probablement pas remarquée ni
n'amènerait l'adversaire à dépenser des ressources pour retrouver l'accès. Les victimes de
cette classe se situent à gauche du spectre de la persistance, vers une relation "fugace"
ainsi que dans le cadre d'une relation non persistante. Ces victimes ont probablement été
ciblées au départ parce qu'elles étaient vulnérables et disponibles au bon moment.

Victime d'intérêt Produit non durable dont l'accès continu offre une valeur suffisante à
un adversaire pour que la perte de l'accès entraîne une notification et que l'adversaire
dépense des ressources pour retrouver l'accès à cette victime ou à des victimes connexes.
Les victimes de cette catégorie se situent dans la partie droite du spectre persistant vers la
"pérennité".

Il est important de noter qu'une relation Adversaire-Victime persistante n'est pas statique
sur le spectre - elle peut se déplacer. Ce n'est pas parce qu'une victime est fugace au
départ et qu'elle est victime d'une opportunité qu'elle ne peut pas changer par la suite. Par
exemple, si une victime est initialement exploitée avec un ver qui se propage de lui-même
mais que l'adversaire trouve que la victime a plus de valeur qu'une simple marchandise,
elle peut devenir une victime d'intérêt qui évolue tout au long du spectre vers la
"pérennité".

5.1.2 Cyber-victimologie

Notre modèle est unique en ce sens qu'il place la victime et l'adversaire dans un espace
équivalent et met en évidence la relation habituellement tacite entre les deux. En outre, à
mesure que notre modèle s'étend pour englober de nombreux adversaires et victimes § par
le biais de fils d'activité
§ ( 8 ) et de groupes d'activité ( 9 ), nous pouvons commencer à faire
appel à l'expertise de la criminologie et de la victimologie, ce qui nous amène à nous poser
des questions importantes telles que
• Pourquoi une entité particulière a-t-elle été victime ?
• Existe-t-il un ensemble commun de victimes ?

• Les victimes ont-elles un point commun ?

• Peut-on déduire l'intention de l'ensemble des victimes ?

• Qui pourrait être d'autres victimes, encore inconnues ?

• Qui a les besoins et l'intention de victimiser cet ensemble d'organisations ?

Il est important de noter qu'avec un meilleur modèle de victimologie, nous pouvons


commencer à examiner les méthodes permettant de compter l'adversaire en rendant les
victimes moins attrayantes et en prédisant les futures victimes. Cela permet à une
organisation de maximiser les ressources de détection de manière appropriée, tout
comme un détective se concentre sur la population la plus à risque et la zone de
criminalité concentrée plutôt que de patrouiller des zones aléatoires. 9

Les récents attentats de type "watering-hole"10 illustrent la manière dont les adversaires
utilisent ce concept pour profiler leurs victimes afin de placer un exploit dans l'endroit le
plus lucratif. Par exemple, en avril 2013, un récent exploit mis en scène sur des sites web
d'activistes tibétains a tenté d'exploiter tout visiteur disposant d'un navigateur vulnérable
[40]. Cependant, si la fonction socio-politique est utilisée efficacement
§ en conjonction
avec l'approche centrée sur la victime ( 7.1.1), il est possible de prévoir l'emplacement de
certains points d'eau et de mettre en place une détection/atténuation ciblée afin de
prévenir l'activité malveillante.

5.1.3 Espace de menace partagé

Si deux ou plusieurs victimes partagent suffisamment de caractéristiques pour satisfaire


les besoins d'un ou de plusieurs adversaires, elles se trouvent alors dans un "espace de
menace partagé". L'identification précoce de l'espace de menace partagé est une pierre
angulaire de l'atténuation stratégique et proactive. Par exemple, les attaques ciblées
contre un membre permettent à l'espace de menace collectif de prévoir et d'anticiper les
attaques futures. En outre, le partage des renseignements sur les menaces est plus lucratif
avec ceux qui sont le plus susceptibles d'être touchés par un adversaire similaire.

5.2 Technologie

Outre la méta-fonctionnalité socio-politique, la méta-fonctionnalité technologique met


également en évidence une relation particulière et couvre deux caractéristiques
essentielles : la capacité et l'infrastructure. Ce
9 Une
étude criminologique intéressante a révélé qu'une augmentation de la couverture forestière dans les
quartiers urbains était statistiquement corrélée à une réduction de la criminalité [38]. Un parallèle potentiel
pourrait-il exister pour les activités d'intrusion ?
10Les
attaques par trou d'eau sont une méthode où l'adversaire compromet des sites web légitimes qui
ils pensent que la catégorie de victimes qu'ils prévoient de visiter les exploitera. L'analogie et le terme sont
tirés de lions qui guettent une proie dans un point d'eau [39].
représente la technologie qui relie et permet l'infrastructure et la capacité de fonctionner
et de communiquer.

Par exemple, si les logiciels malveillants installés résolvent des domaines et


communiquent par HTTP, les technologies utilisées sont les suivantes le protocole
Internet (IP), le protocole de contrôle du transport (TCP), le protocole de transport
hypertexte (HTTP) et le système de noms de domaine (DNS). En analysant la technologie
et ses anomalies/mauvaises utilisations potentielles, un analyste découvre de nouvelles
activités
§ malveillantes, quelles que soient l'infrastructure et la capacité sous-jacentes
(également appelée approche centrée sur la technologie 7.1.6). En outre, la compréhension
des technologies impliquées dans l'activité adverse aide à identifier les lieux de détection,
les types de données et les capacités les plus appropriés.

6 Indicateurs contextuels

Les indicateurs sont les éléments d'information utilisés par les systèmes et les analystes
pour détecter les opérations ad hoc. Dans le cours normal des affaires, les indicateurs
sont chargés dans les systèmes de détection qui alertent les analystes sur les activités
adverses potentielles. Les indicateurs traditionnels se limitent à des détails techniques.
Certains les ont étendus pour inclure des métadonnées supplémentaires [32]. Cependant,
il est temps que les indicateurs s'étendent pour inclure des éléments non techniques,
comportementaux et conceptuels qui augmentent la détection automatisée, mais qui ne
sont pas directement mis en œuvre par celle-ci.

Indicateur contextuel Un indicateur contextuel est un élément d'information placé


dans le contexte des opérations d'un adversaire, qui enrichit à la fois la détection et
l'analyse. Les indicateurs contextuels dérivés du diamant garantissent que la relation
entre les éléments et leur rôle est conservée et que les concepts analytiques tels que les
besoins et les intentions de l'adversaire sont pleinement intégrés, ce qui permet d'obtenir
un contexte plus complet.

Par exemple, dans une approche traditionnelle des indicateurs, l'adresse IP de


l'infrastructure d'un adversaire est un élément commun. En utilisant notre modèle
comme base d'une ontologie, cette adresse IP peut être placée dans son contexte, ce qui
permet à l'analyste non seulement de connaître l'infrastructure de l'adversaire
(probablement une alerte de détection), mais aussi de connaître les types/classes de
victimes précédemment compromises et éventuellement les éléments d'information que
l'adversaire tentait de compromettre (par exemple, les documents de planification
commerciale, la propriété intellectuelle). Grâce à ces connaissances accrues, l'analyste est
désormais armé pour non seulement détecter et confirmer l'intrusion (ce qui est possible
grâce aux indicateurs traditionnels), mais aussi pour déterminer si elle fait partie d'une
campagne de l'adversaire, les informations susceptibles d'être visées par l'adversaire, ainsi
que l'intention et les besoins sociopolitiques de ce dernier
la prévision éventuelle d'opérations adverses futures (§5.1).
Ce contexte permet à l'organisation de prendre des mesures d'atténuation beaucoup plus
stratégiques. Par exemple, l'organisation peut maintenant permettre une détection et une
atténuation spécifiques à l'adversaire sur des biens qui contiennent des informations de
valeur, développer une campagne d'atténuation prolongée (telle que celle décrite dans
[11]), identifier et communiquer avec les partenaires dans l'espace de menace partagé
(§5.1.3)
d'élaborer des plans d'atténuation communs et de partager des indicateurs non techniques, etc.

7 Pivot analytique

Le pivotement est la technique analytique qui consiste à extraire un élément de données


et à exploiter cet élément, en conjonction avec les sources de données, pour découvrir
d'autres éléments connexes. En fin de compte, le pivotement concerne la tâche analytique
fondamentale de vérification des hypothèses. Chaque élément d'un événement d'intrusion
génère ses propres hypothèses qui nécessitent des preuves pour renforcer, affaiblir ou
modifier l'hypothèse. Le pivotement est la tâche de découverte d'éléments connexes
(preuves) qui informent l'hypothèse et génèrent également de nouvelles hypothèses elles-
mêmes. Le succès du pivotement repose sur la compréhension par l'analyste de la relation
entre les éléments et leur capacité à exploiter avec succès un élément de données et les
sources de données (par exemple, si j'ai cette information combinée avec cette source de
données, alors je peux la trouver. . . ).

Le modèle du diamant soutient fondamentalement le pivotement analytique et constitue


l'une de ses caractéristiques les plus fortes. En fait, le modèle Diamant a été révélé à
l'origine après avoir exploré des scénarios de pivotement. Les caractéristiques principales
sont structurées comme un "diamant" avec des bords de connexion qui mettent en
évidence les possibilités de pivotement pour éclairer d'autres éléments des opérations
d'un adversaire. Avec un point du diamant, l'analyste peut éventuellement découvrir et
développer les autres caractéristiques connectées. 11

En utilisant la figure 5 comme exemple : (pivot 1) une victime découvre un logiciel malveillant
sur son réseau, (pivot
2) le malware est inversé, exposant le domaine de commande et de contrôle (C2), (pivot
3) le domaine est résolu, exposant l'adresse IP sous-jacente qui héberge le contrôleur du
malware, (pivot 4) les journaux du pare-feu sont examinés, éclairant d'autres hôtes
compromis dans le réseau de la victime qui établissent des communications avec l'adresse
IP du contrôleur du malware maintenant révélée, et enfin (pivot 5) l'enregistrement de
l'adresse IP révèle des détails sur l'adversaire, fournissant une attribution potentielle de
l'adversaire.

7.1 Approches "centrées

Le modèle se prête à plusieurs concepts d'artisanat d'analyse d'intrusion ciblée. Ces


approches sont dites "centrées" car elles sont axées sur une caractéristique spécifique du
diamant afin de découvrir de nouvelles activités malveillantes et de révéler les activités
liées aux autres caractéristiques connectées et à la caractéristique elle-même.

7.1.1 Approche centrée sur la victime


La plupart des organisations, par le biais des opérations normales de surveillance, de
détection et de défense des réseaux et des hôtes, adoptent une approche centrée sur la
victime. Avec cette approche, l'analyse des données
11Le succès n'
est pas garanti par le diamant. Il ne fait que mettre en évidence ce qui est possible, et non ce
qui est certain.
Adversaire
(5) Propriété
de l'adresse
IP
les détails
révèlent
l'adversaire (2) Les
logiciels
malveillants
contiennent
du C2
domaine

Infrastructure Capacité
(3) Le
domaine C2
se résout en
C2
Adresse IP

(4) Les (1) La


journaux du victime
pare-feu en découvre
disent plus un
les victimes logiciel
contactant Victim malveilla
C2 Adresse IP
e nt

Figure 5 : Le pivotement analytique à l'aide du diamant est illustré. L'une des fonctions
les plus puissantes du Diamant, le pivotement permet à un analyste d'exploiter la relation
fondamentale entre les fonctions (mise en évidence par les bords entre les fonctions) pour
découvrir de nouvelles connaissances sur les activités malveillantes.
lié à une victime potentielle révèle les autres éléments connexes (et liés aux diamants) :
les capacités et les infrastructures malveillantes. Le projet Honeynet est un excellent
exemple de cette approche. En établissant un hôte spécialement configuré pour être
victime, ils invitent les adversaires à exploiter l'hôte, révélant ainsi leurs capacités et leur
infrastructure qui peuvent ensuite être rendues publiques à des fins d'atténuation et
d'éducation [7].

Un autre exemple intéressant de l'approche centrée sur la victime est celui des analystes
qui surveillaient les services destinés aux utilisateurs himalayens considérés comme étant
la cible d'un adversaire très compétent [41]. Cela, comme le prévoyait le modèle du
diamant, a produit de nouvelles informations sur les capacités et les infrastructures
malveillantes lorsque l'adversaire a attaqué les utilisateurs du réseau surveillé. Il est
intéressant§ de noter que cette approche centrée sur la victime a été combinée avec
l'approche centrée sur la politique sociale ( 7.1.5), ce qui a permis aux chercheurs de cibler
un adversaire spécifique en prédisant sa victime, en augmentant ses chances de succès et
en renforçant la confiance dans l'attribution.

7.1.2 Approche centrée sur les capacités

L'approche centrée sur les capacités exploite les caractéristiques d'une capacité pour
découvrir les autres éléments liés aux opérations adverses : les victimes contre lesquelles
cette capacité est utilisée, l'infrastructure soutenant la capacité, la technologie permettant
la capacité, les indices d'autres capacités connexes et les indices (possibles) de
l'adversaire. Les résultats de cette approche sont le plus souvent observés dans les
rapports des fournisseurs d'anti-virus.

Comme premier exemple, l'analyse de Symantec et CrySyS a fourni un lien de Stuxnet à


Duqu basé sur plusieurs caractéristiques et techniques communes employées dans le code
suggérant un auteur commun. Dans le cas présent, ces caractéristiques étaient si avancées
qu'elles les ont fait pivoter vers la caractéristique de l'adversaire pour en déduire les
adversaires potentiels responsables. C'est un exemple de capacité à pivoter vers
l'adversaire, en utilisant la méta-fonctionnalité socio-politique pour renforcer la
confiance dans l'attribution [42].

Comme second exemple, l'analyse de Kaspersky sur "l'Octobre rouge" fournit une
excellente étude de cas sur l'analyse centrée sur les capacités avec des pivots multiples.
Ici, le travail commence avec la capacité des logiciels malveillants et est conçu de manière
inverse pour la technologie (HTTP, cryptage RC4, compression zlib), les structures C2 et
l'infrastructure. La capacité a ensuite été utilisée dans un pays combiné avec sa base de
données de détection antivirus des victimes (pivot entre la victime et la capacité) pour
détecter "plus de 1 000 fichiers associés différents", qui ont également été inversés pour
identifier d'autres structures (pivot entre la capacité et l'infrastructure) qui ont ensuite été
"fusionnées"12 pour identifier les victimes au niveau mondial (pivot entre l'infrastructure et
les victimes). Chaque victime a ensuite été identifiée en fonction de sa position socio-
politique (par exemple, ambassade, gouvernement, armée, énergie), probablement pour
permettre au lecteur de déduire les adversaires potentiels qui auraient pu correspondre à
la position socio-politique de la victime.
n eeds utilisant la cyber-victimologie (§5.1.2) [43].
12 Le
"Sinkholing" est une technique de défense agressive visant à prendre le contrôle de l'infrastructure
adverse à des fins d'atténuation (l'adversaire ne peut plus utiliser ce qu'il ne contrôle pas) et d'analyse (les
logiciels malveillants et les victimes continuent à communiquer avec l'infrastructure désormais contrôlée par
le défenseur).
7.1.3 Une approche centrée sur l'infrastructure

L'approche centrée sur l'infrastructure se concentre sur l'infrastructure malveillante de la


publicité. Cet élément permet de découvrir d'autres éléments connexes : les victimes en
contact avec l'infrastructure, les capacités fournies ou contrôlées par l'infrastructure,
d'autres infrastructures connexes (telles que les adresses IP résolues par les domaines
malveillants), et des indices (éventuels) sur l'adversaire, y compris ceux qui peuvent être
en contrôle direct de l'infrastructure. 13

L'équipe du Commandement Cinq a fait preuve d'une approche fortement centrée sur les
infrastructures dans son enquête sur SKHack [44]. Alors que les premiers détails ont été
glanés à partir des logiciels malveillants découverts au cours de la réponse, les auteurs ont
utilisé les résolutions des domaines de rappel connus aux robes de publicité IP et ont
ensuite pivoté vers les informations d'enregistrement WHOIS pour découvrir de
nombreux autres domaines avec un registrant commun (pivot infrastructure-à-
adversaire). Ils ont ensuite réussi à cartographier entièrement une infrastructure qui
n'avait pas été utilisée lors de l'attaque mais qui était probablement contrôlée par le
même positionnement adverse pour des actions défensives préventives (par exemple,
bloquer l'accès au réseau de ces domaines avant leur utilisation opérationnelle). Des
recherches plus approfondies sur les domaines enregistrés ont également permis d'obtenir
des informations sur les logiciels malveillants utilisés dans d'autres attaques contre
différentes victimes, mais qui ont probablement été utilisés par le même adversaire (pivot
infrastructure-capacité).

7.1.4 Approche centrée sur l'adversaire

On pourrait théoriser que l'approche centrée sur l'adversaire est la plus difficile des
différentes approches centrées. Elle consiste à surveiller directement un adversaire pour
découvrir ses infrastructures et ses capacités. Bien sûr, cette approche sera probablement
la plus fructueuse, mais elle est limitée par le besoin d'accès. Par exemple, le Bureau
fédéral américain d'investigation (FBI) a surveillé les appels téléphoniques et l'activité des
modems du groupe de piratage "Phonemasters" en identifiant l'ensemble de leurs
opérations, y compris les autres adversaires impliqués ainsi que leurs victimes, leurs
capacités et leurs infrastructures [45]. Cependant, il faut se méfier des récits d'autres
personnes qui suivent leurs adversaires de trop près et en paient le prix [46].

7.1.5 Une approche centrée sur la politique sociale

L'approche centrée sur la politique sociale est unique. Seule, elle ne conduit pas
directement à de nouveaux éléments ou indicateurs, mais tire plutôt parti d'une relation
attendue entre l'adversaire et la victime pour émettre des hypothèses sur qui peut être
une victime et quels peuvent être ses adversaires, ou encore qui peut être un adversaire et
ses victimes attendues. Cela peut ensuite conduire à des éléments qui peuvent être
exploités en utilisant l'approche centrée sur l'adversaire ou la victime pour obtenir des
détails tactiques.
13Les analystes
exploitent souvent le lien entre l'infrastructure et l'adversaire en exportant les
informations d'enregistrement, mais sont souvent déjoués par de fausses informations. Cependant, les
fausses informations (par exemple, celles qui figurent dans l'enregistrement d'un domaine) peuvent être
utiles si l'adversaire utilise les informations de manière cohérente en fournissant une personne commune
qui peut être suivie et/ou tracée entre les événements malveillants
Les conclusions analytiques tirées de la corrélation entre les activités d'intrusion et les
événements politiques réels sont en fait assez courantes. Dès 1990, Cheswick a établi une
corrélation entre l'activité d'intrusion contre son réseau et la guerre du Golfe de 1990-1991
[6]. Plus récemment, les attaques DDoS de 2008 en Géorgie et les attaques soutenues
contre les groupes pro-Tibet ont été corrélées aux événements politiques actuels [47, 48].
Cependant, il faut tenir compte de l'éternelle mise en garde selon laquelle la corrélation
n'est pas une cause.

7.1.6 Une approche centrée sur la technologie

L'approche centrée sur la technologie permet à un analyste de cibler une mauvaise


utilisation potentielle ou une utilisation anormale d'une technologie afin de découvrir des
infrastructures et des capacités jusque-là inconnues qui utilisent de telles techniques. La
surveillance et la détection d'anomalies dans le système de noms de domaine (DNS) a été
une méthode populaire et fructueuse de mise en œuvre de l'approche centrée sur la
technologie pour découvrir de nouvelles activités malveillantes [49, 50]. D'autres ont
étudié les anomalies dans les en-têtes de paquets sur les réseaux dorsaux [51].

8 Fil d'activité

L'axe 4 stipule qu'un adversaire n'agit pas dans un événement unique contre une victime,
mais plutôt dans une chaîne d'événements causaux au sein d'un ensemble de phases
ordonnées dans lesquelles, généralement, chaque phase doit être exécutée avec succès
pour atteindre son objectif. 14 Un fil d'activité est un graphique ordonné en phases dirigées
où chaque sommet est un événement et les arcs (c'est-à-dire les arêtes dirigées) identifient
les relations causales entre les événements. Les arcs sont étiquetés avec la confiance
analytique établissant la relation causale, que le chemin soit ET (nécessaire) ou OU
(facultatif - il y a plus d'un chemin potentiel à partir d'un événement), que l'arc soit réel
ou hypothétique, ainsi qu'avec l'information ou la ressource que l'événement précédent
fournit et qui est nécessaire pour que l'événement suivant se produise. 15 Les fils sont
organisés verticalement de telle sorte que chaque fil décrit tous les événements causaux
qu'un adversaire a exécutés contre une victime spécifique (toutefois, la mise en œuvre du
modèle définit la caractéristique de la victime) visant collectivement à réaliser l'intention
de l'adversaire.§ Par conséquent, chaque fil est spécifique à une paire adversaire-victime -
bien que dans de nombreux cas, les fils d'activité puissent ne varier que légèrement d'une
victime à l'autre, car
14Comme
indiqué au point 4.5.2, l'ensemble des phases peut comprendre des phases non essentielles pour
une activité donnée et, par conséquent, toutes les activités peuvent ne pas être conformes à l'ensemble
complet des phases disponibles. C'est pourquoi nous disons qu'en général, chaque phase doit être exécutée
avec succès pour atteindre une intention, mais cela ne vaut pas nécessairement pour toutes les phases de
l'ensemble de l'activité.
15Les deux
concepts ET/OU et exigences/fournitures ont été incorporés à partir des modèles précédents et les
deux
sont utiles dans différents modes d'élaboration de stratégies d'atténuation. Les chemins d'attaque conjonctifs
et disjonctifs sont empruntés au travail original de Schneier sur les arbres d'attaque [15] et sont utiles pour
l'accessibilité, l'optimisation des chemins et d'autres techniques d'analyse de graphiques pour développer des
stratégies d'atténuation. Le concept de graphiques d'attaque centrés sur les ressources est emprunté à [52] et
est utile pour le développement de stratégies d'atténuation des contraintes sur les ressources. Cela ne veut
pas dire que les deux doivent être utilisés ensemble, mais plutôt qu'ils offrent un maximum de possibilités
d'appliquer différentes techniques pour une comparaison plus poussée, car il n'a pas été démontré qu'ils sont
optimaux en eux-mêmes pour générer des stratégies d'atténuation. Les résultats de ces techniques peuvent
ensuite être comparés à l'aide d'un modèle d'aide à la décision tel qu'ADAM afin d'évaluer les différents
risques, coûts et avantages [13]. Pour ce faire, et comme décrit initialement par Schneier dans [15], les arcs
peuvent également inclure la pondération, la priorité ou d'autres quantificateurs.
Fil de Fil de Fil de
discussi discussi discussi
on1 on2 on3
Adversaire1 Adversaire1 Adversaire ?
A
Reconnaissance 1 2 8 11

Armement B J M

Livraison 3 10 12
C
Exploitation 4H N
LK
Installation DE

C2 56 13
FG
O
Action sur
les 7I 9 14
objectifs
Victime1 Victime2 Victime3

Figure 6 : Un exemple de visualisation des fils d'activité illustrant les événements


Diamond étant liés verticalement (au sein d'une même victime) et horizontalement (entre
les victimes) par des arcs dirigés désignant une relation de cause à effet entre les
événements (c'est-à-dire que cet événement s'est produit à cause de, et après, cet
événement). Dans la figure, les lignes pleines représentent des éléments d'information
réels étayés par des preuves et les lignes pointillées représentent des éléments
hypothétiques. Voir le tableau 1 pour la description des événements et le tableau 2 pour la
description des arcs.
Tableau 1 : Exemple de description des événements du fil
d'activité pour la figure 6

Événe Hypothèse/Réel Description


ment
1 Réel Adversary effectue une recherche sur le web pour la
société victime Gad- gets Inc. recevant comme partie des
résultats leur domaine gad- gets.com
2 Réel Adversary utilise le nouveau domaine découvert
gadets.com pour une nouvelle recherche "network
administrator gadget.com" qui couvre les messages
postés sur les forums par des utilisateurs se disant
administrateurs du réseau gadget.com et révélant leurs
adresses électroniques
3 Réel Un adversaire envoie des courriers électroniques de type
spear-phish avec un tachment trojanisé aux
administrateurs de réseau de gadget.com, qui ont été
refermés lors de l'événement 2
4 Réel Un administrateur de réseau (NA1) de gadet.com ouvre
la pièce jointe malveillante en exécutant l'exploitation ci-
jointe, en vue de l'exécution de code supplémentaire
5 Réel L'hôte de NA1 exploité dans l'événement 4 envoie un
message HTTP à une adresse IP en l'enregistrant auprès
d'un contrôleur et reçoit une réponse HTTP en retour
6 Réel La rétro-ingénierie du logiciel malveillant sur l'hôte de
NA1 révèle que le logiciel malveillant a une adresse IP
supplémentaire configurée qui agit comme une
sauvegarde si le premier hôte ne répond pas
7 Réel Par le biais d'un message de réponse HTTP de
commande et de contrôle envoyé à l'hôte de NA1, le
malware commence à utiliser le proxy TCP.
8 Réel Par le biais du proxy établi sur l'hôte de NA1, Adversary1
effectue une recherche sur le web pour "la recherche la
plus importante de tous les temps" et trouve la victime
Interesting Research Inc.
9 Hypothèse Adversary1 vérifie la liste de contacts électroniques des
NA1 pour tout contact de Interesting Research Inc. et
découvre le contact de l'Interesting Research Inc.
Directeur de la recherche
10 Réel Le directeur de la recherche d'Interesting Research Inc.
reçoit un courrier électronique en forme de harpon de
l'hôte de NA1 de Gadget Inc. avec la même charge utile
que l'ob- servie lors de l'événement 3
11 Réel Un adversaire inconnu recherche les serveurs web
vulnérables, dont Victime3
12 Réel Un exploit pour une vulnérabilité préalablement analysée
lors de l'événement 10 est transmis à Victim3 via le réseau
13 Réel Le serveur exploité, Victim3, établit un shell distant
à l'adversaire3a2ry
14 Réel L'adversaire utilise le shell à distance pour télécharger
tous les
documents dans le répertoire privé de Victim3
Tableau 2 : Exemples de descriptions d'arcs de fil d'activité pour la
figure 6

Arc Confiance Et/ou Hypothèse/Réel Fournit


A Faible Et Réel Fournit le domaine pour Gadgets
Inc, gadgets.com
B Haut Et Réel Fournit des cibles de harponnage :
adresses électroniques pour les
administrateurs de réseau et les
utilisateurs de gadgets.com
C Haut Et Réel [Aucune]
D Haut Ou Réel [Aucune]
E Haut Ou Réel [Aucune]
F Haut Et Réel [Aucune]
G Haut Et Réel [Aucune]
H Moyen Et Réel Fournit un accès par procuration
de la victime précédente au moteur
de recherche
I Faible Et Hypothèse Accès à la liste de contacts par
courrier électronique
J Haut Et Réel Identification de l'organisation de la
victime
K Faible Et Hypothèse Adresse électronique de la victime,
nom et identification du rôle
L Haut Et Réel Courrier électronique trojanisé
Spear-phish
M Haut Et Réel Fournit les résultats de l'analyse
complète des succès identifiant le
serveur web de la victime comme
étant vulnérable à l'exploitation
N Haut Et Réel [Aucune]
O Haut Et Réel Fournit la coquille distante établie

33
l'adversaire consolide les infrastructures, les processus et les capacités pour réduire les coûts.

Corrélation verticale Il est rare que tous les événements d'un même fil d'activité
vertical soient connus. En outre, il peut être nécessaire de faire des efforts pour établir
des relations de cause à effet entre les événements d'un même fil d'activité, ce qui
nécessite des recherches, des collectes de données et des analyses supplémentaires. Le
processus analytique consistant à identifier les lacunes dans les connaissances, à combler
ces lacunes avec de nouvelles connaissances et à établir des relations de cause à effet (et
les étiquettes d'arcs associées) au sein d'un seul fil d'activité vertical entre l'adversaire et
la victime est appelé corrélation verticale. En organisant le fil par phases, on peut aussi
plus facilement identifier les lacunes en matière de connaissances là où l'activité aurait dû
avoir lieu, mais pas
la connaissance de l'existence de ces derniers (voir le point 8.2 pour plus d'informations).

Il est courant qu'un adversaire utilise les ressources acquises lors d'une opération pour
permettre des opérations futures ou pour exploiter des relations de confiance internes
afin d'obtenir un accès plus profond à un réseau spécifique - ce que l'on appelle dans les
tests de pénétration l'exploitation pivotante et latérale. Par conséquent, les relations de
cause à effet (arcs) peuvent s'étendre sur un ou plusieurs fils horizontalement. En outre,
comme le montre la figure 6, les phases peuvent contenir plus d'un événement et les arcs
peuvent même aller "en arrière" pour décrire un processus itératif, tandis que les bords
décrivent les ressources obtenues et utilisées entre les événements.

Corrélation horizontale Le processus analytique qui consiste à établir un lien de


causalité entre les événements des fils verticaux des paires adverses-victimes, à identifier
les lacunes de connaissances communes entre les fils et à utiliser les connaissances d'un
fil pour combler les lacunes de connaissances d'un autre fil est appelé corrélation
horizontale. Ce processus conduit également à l'identification de caractéristiques
communes
entre les victimes, ce qui peut conduire à la création d'un groupe d'activités dans le cadre
d'un processus défini ultérieurement (§9).

Ces fils d'activité forment un nouveau type de graphique d'attaque par ordre de phase16
informé par des obser- vations d'événements réels afin de prédire la probabilité et la
préférence de l'adversaire pour des voies particulières. Comme les graphes d'attaque
traditionnels, les fils d'activité modélisent une activité complexe à plusieurs étapes qui
peut exploiter plusieurs vulnérabilités de système et de réseau. Toutefois, contrairement
aux graphiques d'attaque traditionnels qui tentent de dresser une liste exhaustive de tous
les chemins possibles, les fils d'activité modélisent les connaissances des chemins
d'attaque réels et l'interdépendance au sein des fils et entre§ eux. La nature des fils
d'activité, telle que définie dans cette section, permet à un événement/vertex de satisfaire
un ou plusieurs des besoins en ressources d'un autre événement ( 4.5.6) permettant à
l'événement ultérieur de se produire. En outre, chaque sommet est un événement qui
apporte avec lui la profondeur d'information qu'un événement fournit, ce qui rend les
informations du graphique riches et intrinsèquement plus utilisables.
Formellement, nous pouvons définir le fil d'activité comme un graphe dirigé, AT, où AT =
(V, A) est une paire ordonnée telle que :

- |V | ≥ 1, il existe au moins un événement dans le fil de discussion17


16Les
graphiques d'attaque sont une énumération de tous les chemins possibles qu'un adversaire peut
emprunter pour pénétrer dans les réseaux informatiques et atteindre l'objectif qu'il s'est fixé.
17Bien que l'
axe 4 garantisse que chaque activité comporte au moins deux phases, il est probable que toutes
ne le soient pas
• AT est un graphique fini

- V est l'ensemble de tous les événements divisés en sous-ensembles de telle sorte que
• tous les événements d'un sous-ensemble partagent le même adversaire et la même
victime et sont ensuite divisés en p tuples étiquetés où p est le nombre de phases
définies et chaque événement est placé dans le tuple qui correspond à sa phase

- A est l'ensemble des paires d'arcs ordonnées de telle sorte que l'arc(x, y) est défini
• si et seulement si l'ad- versary a exécuté avec succès l'événement y en raison de
l'événement x et l'événement x a directement précédé l'événement y

- Il peut exister plus d'un arc à un événement donné. Par exemple, étant donné trois
• événements x, y et z, il peut exister un chemin de x à y arc(x, y) ainsi qu'un
chemin de z à y arc(z, y).

- Il peut exister plus d'un arc de cercle à partir d'un même événement. Par exemple,
• étant donné trois événements x, y et z, il peut exister un chemin de x à y arc(x, y)
ainsi qu'un chemin de x à z arc(x, z).

- Il ne peut exister qu'un seul chemin d'un nœud à l'autre (c'est-à-dire que chaque
• paire ordonnée par arc est unique dans le graphique). Par exemple, étant donné
deux événements x et y, il ne peut exister qu'un seul chemin de l'arc x à l'arc y (x,
y).

• Les arcs sont étiquetés avec un()4-tuple de confiance, et/ou, hypothétique/réel, fournit
où :

– Confiance : définition de la confiance analytique dans l'existence d'une relation


causale entre x et y

– Et/Ou : définit si le chemin de x à y est nécessaire et requis pour que y


réussisse (ET) ou si le chemin est une voie alternative et optionnelle pour
atteindre y à partir de x (OU)

– Hypothétique/Réel : distingue un arc hypothétique d'un arc réel (hy- l'appui de


la thèse est décrit au §8.2) appuyé par des preuves

– Fournit : la définition des ressources que x fournit à y pour réussir la


correspondance avec les exigences énumérées dans la méta-fonctionnalité de

l'événement ressources (§4.5.6)


connu au moment de la découverte et donc un fil d'activité peut être initialement créé avec un seul
événement. La ou les phases vides et le ou les événements manquants sont alors traités comme des lacunes
dans les connaissances.
8.1 Processus contradictoire

Collectivement, les fils verticaux et les liens horizontaux décrivent effectivement le


processus de bout en bout d'un adversaire, tel que défini par l'axe 4. Ce processus est
encore enrichi par les événements eux-mêmes qui contiennent les caractéristiques des
actions individuelles (par exemple, la capacité et l'infrastructure utilisées, la
méthodologie spécifique, les ressources externes appliquées). Ensemble, ces éléments
définissent la manière dont l'adversaire a exécuté ses opérations, son mode opératoire.

Toutefois, dans de nombreux cas, un adversaire manifestera une préférence pour certains
éléments et comportements dans le cadre de ses processus plus larges. Ce fait a été
identifié et exploré en criminologie et est probablement le résultat de l'attraction humaine
vers le confortable et le familier basée sur la culture, les connaissances, la formation,
l'expérience, etc. Dans les grandes organisations, ces préférences seront probablement
aussi dictées par les politiques et les décisions des dirigeants. Les analystes des intrusions
identifient généralement ces préférences grâce à des éléments communs à l'ensemble
d'une campagne, tout comme les enquêteurs criminels traditionnels les identifient grâce à
des preuves communes entre les scènes de crime.

La capacité d'identifier et d'articuler ces caractéristiques et comportements adverses


communs est puissante. Grâce à cette caractérisation, les analystes peuvent regrouper les
"like-threads" qui partagent
§ des processus similaires (voir 9) sans avoir besoin d'établir
une correspondance sur les caractéristiques exactes (par exemple, la même adresse IP
d'infrastructure, la même capacité) pour chaque événement. Le modèle du diamant
définit ce processus comme un processus adversaire.

Par exemple, la figure 7 illustre un processus d'adversité défini à partir des événements 2,
3, 4 et 6 de la figure 6. Ce processus adversaire est généralement décrit comme suit : un
événement de reconnaissance qui comprend une recherche sur le web pour
"administrateur réseau", suivi (mais pas nécessairement immédiatement) par la remise
d'un courrier électronique avec une pièce jointe contenant un cheval de Troie, suivi d'un
exploit spécifique et connu sur la machine locale (par exemple CVE-YYYY-XXX), et enfin
un courrier HTTP quittant la victime. Ce fil peut maintenant être utilisé pour établir une
correspondance avec d'autres fils d'activité qui présentent le même ordre général
d'événements et de caractéristiques.

Formellement, les processus adverses sont définis comme des sous-graphies d'un fil
d'activité qui contiennent un sous-ensemble de leurs caractéristiques. Il est important de
noter que le sous-graphique peut être "élastique" en ce sens qu'il peut être défini de telle
sorte que les événements n'ont pas besoin de maintenir leur ordre strict pour
correspondre efficacement à un autre fil (illustré dans la figure 7 sous forme d'arcs en
pointillés entre les événements). En d'autres termes, il importe seulement que les
caractéristiques correspondent dans l'ordre général, mais d'autres événements peuvent
exister entre eux. On peut aussi définir un processus adversaire "strictement" de telle
sorte que les événements doivent maintenir leur ordre sans qu'il y ait d'événements
intermédiaires, ou une combinaison des deux.
8.2 Soutien aux hypothèses analytiques

La génération, la documentation et la vérification d'hypothèses est l'une des


caractéristiques les plus importantes du fil d'activité et permet d'intégrer des modèles
analytiques formels tels que "l'analyse des hypothèses concurrentes" (ACH) [1] et
d'appliquer les méthodes scientifiques nécessaires à l'évaluation des risques.
Caractéristiques du
processus
Recherche sur le web pour
Reconnaissance "administrateur réseau" [dérivé de
l'événement 2]

Armement
Envoi d'un courrier électronique avec une
Livraison pièce jointe protégée par un cheval de
Troie [dérivé de l'événement 3]
Exploitation locale spécifique (par exemple, CVE-
Exploitation YYYY-XXX)
[dérivé de l'événement 4]

Installation
HTTP Post de la victime
C2 [dérivé de l'événement 6].

Action sur
les
objectifs

Figure 7 : Un exemple de processus adversaire dérivé du fil d'activité illustré à la figure 6.


Dans ce processus, les caractéristiques des événements 2, 3, 4 et 6 sont extraites dans un
sous-processus qui peut être utilisé pour correspondre à d'autres fils d'activité. Les arcs
entre les événements sont en pointillés, ce qui montre que si les événements sont encore
en phase, d'autres événements peuvent intervenir entre eux sans perturber les critères de
correspondance.
rigueur. La première étape de l'analyse consiste à définir la question à traiter. Une fois la
question définie, des hypothèses peuvent être générées, documentées et testées.

Comme décrit précédemment, en plaçant les événements dans un modèle basé sur les
phases, les lacunes en matière de connaissances peuvent être plus facilement identifiées.
Puisque l'Axiom 4 stipule que les activités malveillantes sont multiphases, chaque phase
devrait contenir au moins un événement. 18 Une § autre méthode d'identification des
lacunes en matière de connaissances consiste à utiliser la méta-fonctionnalité des
ressources ( 4.5.6). L'analyste peut alors demander comment l'adversaire utilise les
ressources requises pour chaque événement, ce qui permet de générer les hypothèses
nécessaires pour répondre à la question.

Ces hypothèses peuvent ensuite être documentées dans le fil d'activité et nécessairement
différer des autres événements. C'est une caractéristique importante car l'un des défauts
de la plupart des analyses est le manque d'hypothèses documentées et, de plus, et plus
dangereusement, l'absence de différenciation entre l'hypothèse et le fait. Le modèle de fil
d'activité encourage la génération d'hypothèses et la documentation, ce qui augmente la
valeur et la précision de la connaissance.

Une fois que les hypothèses sont documentées et différenciées, elles doivent être affinées
et testées. Il existe plusieurs méthodes de test des hypothèses qui peuvent être utilisées
avec notre modèle pour déterminer si une hypothèse donnée, à la fois elle-même et parmi
d'autres, est raisonnable. Par exemple, on peut appliquer une pondération des preuves
aux hypothèses concurrentes [1], le rasoir d'Occam (par exemple, les nations les plus
simples sont, toutes choses égales par ailleurs, généralement meilleures que les plus
complexes)19, le conservatisme (si l'hypothèse "correspond" à d'autres aspects de
l'activité) et d'autres méthodes formelles de raisonnement inductif et déductif aux
hypothèses concurrentes [1].

Par exemple, l'événement 10 de la figure 6 pourrait énumérer les éléments suivants dans
la méta-fonctionnalité des ressources : l'accès au réseau pour envoyer du courrier
électronique, l'accès à un compte de courrier électronique, l'adresse électronique cible, le
cheval de Troie malveillant à inclure dans le courrier électronique et la connaissance de sa
cible pour créer un courrier électronique qui contournera les filtres et incitera la cible à
exécuter le malware. Ni l'événement 7 (accès par proxy) ni l'événement 8 (résultats de
recherche) ne fournissent les ressources nécessaires pour envoyer un courrier
électronique au responsable des ressources, en particulier son adresse électronique et son
rôle (par exemple, la connaissance de la cible). Par conséquent, l'événement 9 est supposé
être la source des informations de ciblage permettant d'envoyer le courrier électronique le
plus attrayant à la bonne cible.

L'événement 9 peut être testé de plusieurs façons. Premièrement, il est simple et logique
car toutes les ressources nécessaires sont réunies et il n'est pas nécessaire de formuler
d'autres hypothèses sur les événements. Deuxièmement, il "s'adapte" aux capacités et à
l'accès de l'adversaire. Troisièmement, des preuves peuvent être recueillies (par exemple,
des journaux d'événements de l'hôte) pour déterminer si l'événement s'est produit, ce qui
rend l'hypothèse mesurable et vérifiable pour répondre à la rigueur scientifique.
Cette forme de documentation permet enfin d'obtenir une répétabilité dans le processus
d'analyse des intrusions, car d'autres analystes peuvent tracer de manière indépendante
le graphique d'activité établissant
18Un
événement dans chaque phase n'est pas garanti car l'Axiom 4 permet des phases non essentielles.
19Dans
notre modèle, la simplicité peut être facilement mesurée en comparant le nombre de ressources
nécessaires à un événement et le nombre de celles-ci qui sont satisfaites compte tenu des événements
actuels par rapport au fait de devoir émettre des hypothèses sur un plus grand nombre d'événements à
soutenir.
Reconnaissance

Armement

Livraison

Exploitation

Installation

C2

Action sur
les
Graphique d'attaque
objectifs
Fil d'activité
Victime1

Figure 8 : Un exemple de graphique d'activité-attaque illustrant l'intégration de la


connaissance des trajectoires d'attaque réelles de l'adversaire avec la multitude de
trajectoires d'attaque hypothétiques qui pourraient être prises. L'utilisation d'un
graphique d'activité-attaque met en évidence les chemins potentiels d'un adversaire dans
le futur ainsi que les chemins préférés sur la base des connaissances actuelles.

leurs propres hypothèses et conclusions en les comparant à l'original. Ce processus


renforce la confiance dans les conclusions analytiques et la précision des jugements
finaux.

8.3 Graphique d'activité-attaque

Graphique d'activité-attaque Les fils d'activité et les graphiques d'attaque


traditionnels ne sont pas mutuellement exclusifs mais répondent plutôt à des questions
complémentaires. Les graphiques d'attaque identifient et énumèrent les chemins qu'un
adversaire pourrait emprunter tandis que les fils d'activité définissent les chemins qu'un
adversaire a empruntés. Ils peuvent exister ensemble en superposant les fils d'activité sur
un graphique d'attaque traditionnel. Nous appelons ce graphique d'attaque basé sur le
renseignement un graphique d'attaque d'activité.
Le graphique d'activité-attaque présente plusieurs avantages :
- Il maintient l'intégrité du graphe d'attaque en rendant disponible toute la portée de
• l'analyse du graphe d'attaque.

- Il augmente la quantité d'informations contenues dans un graphique d'attaque car


• chaque sommet est un événement Diamond riche en caractéristiques.

- Il augmente la quantité d'informations visuelles contenues dans le graphique


• d'attaque avec une réduction minime, voire nulle, de la convivialité.

- Il génère des pondérations plus précises car les choix (et préférences) réels des
• attaquants sont connus.

• Il met en évidence les préférences des attaquants, ainsi que les voies alternatives.

- Il cartographie de manière exhaustive (en raison de la nature des graphiques


• d'attaque) les voies alternatives pour les scénarios de jeu et le développement de
campagnes d'atténuation (par exemple, si cette action est entreprise, l'adversaire est
susceptible d'emprunter l'une de ces voies. . . ).

- Il contribue naturellement à combler les lacunes dans les connaissances pour un fil
• d'attaque donné en superposant le corpus de fils d'attaque horizontalement
apparentés à des fins de comparaison. Il en résulte une plus grande rapidité de
génération et de test des hypothèses lors des enquêtes sur les incidents en cours.

La figure 8.3 est un exemple de graphique d'activité-attaque. La figure distingue les voies
adverses connues (graphe d'activité) des voies possibles encore connues à exploiter
(graphe d'attaque). Cela revient à consulter simultanément les résultats des tests de
pénétration (par exemple, Red Team) et de l'évaluation de la vulnérabilité (par exemple,
Blue Team) pour tracer le meilleur plan d'action. 20

En fin de compte, les fils d'activité et les graphiques d'attaque d'activité permettent un
meilleur développement de la stratégie d'atténuation car ils intègrent de manière
cohérente l'assurance de l'information et le renseignement sur la menace. Ils intègrent ce
qui s'est produit et ce qui pourrait se produire, ce qui permet à une stratégie de contrer la
menace actuelle et de planifier la réaction de l'adversaire pour contrer efficacement ses
futurs mouvements. Cette planification intégrée permet également une utilisation plus
efficace des ressources, car les mesures d'atténuation peuvent être conçues pour contrer
simultanément la menace actuelle et la menace future.

9 Groupes d'activités

Groupe d'activité Un groupe d'activité est un ensemble d'événements et de fils d'activité


de Diamond, associés par des similitudes dans leurs caractéristiques ou processus et
pondérés par la confiance. Une activité
20La savoir si
question de l'approche du graphique d'attaque de l'activité serait une méthode utile pour
intégrer les résultats réels de l'équipe rouge et bleue pour l'analyse n'est pas explorée, mais une question
intéressante et laissée pour des travaux futurs.
Le groupe a deux objectifs : (1) un cadre permettant de répondre aux questions
analytiques nécessitant une connaissance approfondie des activités, et (2) l'élaboration de
stratégies d'atténuation dont l'effet escompté est plus large que les fils d'activité. Les
groupes d'activités se différencient des filières d'activités de deux façons : (1) les groupes
d'activités contiennent à la fois des événements et des filières, et (2) les événements et les
filières d'un groupe d'activités sont corrélés par des caractéristiques et des
comportements similaires plutôt que par une relation de cause à effet (comme c'est le cas
pour les filières d'activités).

Les analystes forment traditionnellement des groupes d'activités pour identifier un


adversaire commun derrière les événements et les fils de discussion, en utilisant
généralement les similitudes en matière d'infrastructure et de capacités. Cependant, le
concept est intrinsèquement flexible et s'étend à tout groupement basé sur des similarités
pour répondre à une multitude de besoins analytiques et opérationnels. Le résultat
analytique ou opérationnel souhaité détermine la mise en œuvre et le type de corrélation
(c'est-à-dire la fonction de regroupement) utilisé. De plus, les groupes d'activités ne sont
pas statiques, tout comme les adversaires ne sont pas statiques. Les groupes d'activités
doivent croître et changer au fil du temps pour absorber les nouvelles connaissances de
l'adversaire, y compris les changements dans leurs besoins et leurs opérations. 21

Le processus entourant les groupes d'activités comporte six étapes distinctes :

Étape 1 : Problème analytique Le problème analytique particulier à résoudre par le


regroupement

Étape 2 : Sélection des caractéristiques Les caractéristiques de l'événement et les


processus adverses utilisés pour former la base de la classification et du regroupement
sont sélectionnés

Étape 3 : Création Les groupes d'activités sont créés à partir de l'ensemble des événements et
des fils de discussion

Étape 4 : Croissance Au fur et à mesure que de nouveaux événements entrent dans le


modèle, ils sont classés dans les groupes d'activités

Étape 5 : Analyse Les groupes d'activités sont analysés pour répondre au(x) problème(s)
analytique(s) défini(s)

Étape 6 : Redéfinition des groupes d'activité d'allumage de temps en temps pour


maintenir leur précision

Formellement, nous définissons un groupe d'activités, AG, comme un ensemble


d'événements et de fils d'activité qui partagent une ou plusieurs similitudes dans les
caractéristiques ou les processus adverses :
21Si le
regroupement et la classification sont des outils puissants qu'il convient d'encourager en tant que
multiplicateur de force analytique, ils ne sont pas sans écueils. Les systèmes de regroupement et de
classification ont de nombreuses préoccupations bien documentées. Certains sont particulièrement
préoccupants parce que les adversaires pratiquent activement le déni et la tromperie dans presque tous les
paquets pour échapper à la détection et à l'analyse. Le domaine le plus préoccupant est celui du sur-
ajustement, où un analyste ou une machine inclut des informations non liées dans les clusters. La principale
raison de cette erreur est une mauvaise définition des groupes (c'est-à-dire un vecteur de caractéristique
faible). En particulier dans le cas de l'analyse d'intrusion, elle se manifeste lorsque deux activités
chevauchent des caractéristiques (par exemple, le partage d'une capacité publique, l'utilisation d'un espace
d'hébergement partagé). Ce phénomène est encore aggravé par la propagation des erreurs : une fois qu'un
événement non lié est inclus dans la définition du groupe, il est utilisé pour une corrélation future, ce qui
augmente le nombre d'événements non liés qui aggravent l'erreur initiale. Plusieurs techniques existent pour
détecter et prévenir le suréquipement [54]. Une comparaison de ces techniques appliquées à l'analyse des
intrusions dépasse le cadre de ce travail et est laissée pour des travaux futurs. Cependant, il s'agit d'un
problème qui mérite d'être souligné.
Att = {et1, et2, . . . , etn}

Où :

• n ≥ 1, il doit y avoir au moins un élément dans un groupe d'activités

• etn est l'un ou l'autre : Un événement singulier ou un fil conducteur d'activité tel que
défini au §8

• Tous les événements ou processus dans Att partagent une ou plusieurs similarités
satisfaisant la fonction de création de groupes d'activités utilisée pour partitionner
les événements et les fils de discussion (définis au §9.3)

9.1 Étape 1 : Problème analytique

Le regroupement d'activités permet de résoudre un certain nombre de problèmes. Ces


problèmes nécessitent généralement une déduction et une inférence basées sur un
ensemble commun de caractéristiques (c'est-à-dire un vecteur de caractéristiques). Ces
problèmes sont généralement suffisamment distincts pour nécessiter un vecteur de
caractéristiques différent pour chaque prob- lem. 22 Par exemple, le vecteur de
caractéristiques qui regrouperait les événements et les fils de discussion par adversaire
probable (par exemple, l'attribution) ne suffirait pas toujours à regrouper les événements
pour découvrir les auteurs et les développeurs de logiciels malveillants communs. Le
problème analytique doit d'abord être défini.

Par conséquent, nous définissons un problème analytique, PR, comme un énoncé de


problème d'analyse d'intrusion qui nécessite un regroupement et une classification (c'est-
à-dire un regroupement) pour le traiter en partie ou en totalité.

Quelques exemples de problèmes analytiques que les groupes d'activités soutiennent :

- Tendance : Comment l'activité d'un adversaire a-t-elle évolué dans le temps et quel
• est le vecteur actuel permettant de déduire les changements futurs ?

• Déduction d'intention : Quelle est l'intention de l'adversaire ?

- Déduction d'attribution : Quels sont les événements et les fils de discussion susceptibles
• d'être menés par le même adversaire ?

- Capacités et infrastructures adverses : Quel est l'ensemble des capacités et infrastructures


• observées de l'adversaire ?

- Identification des capacités croisées : Quelles capacités ont été utilisées par de
• nombreuses annonces ?
- Identification des lacunes en matière de connaissances de la campagne contre la
• corruption : Quelles sont les lacunes en matière de connaissances de l'organisation dans la
campagne d'un adversaire ?
Toutefois
, cela n'exclut pas la possibilité que deux ou plusieurs problèmes partagent un vecteur de
caractéristiques communes.
- Recommandation d'atténuation automatisée : Lorsqu'un événement est détecté, quel
• adversaire
23
est derrière l'événement et quelles mesures peuvent/doivent être prises ?

- Déduction pour le développement des capacités communes : Quelles sont les capacités qui
• témoignent d'auteurs ou de développeurs communs ?

- Centre d'identification par gravité : Quelles sont les ressources et les processus les
• plus courants et les plus critiques pour une activité et/ou une campagne ?

9.2 Étape 2 : Sélection des reportages

Les événements et les fils des diamants sont corrélés et regroupés de deux manières
complémentaires : (1) en utilisant diverses caractéristiques de base, méta- et sous-
caractéristiques de §l'événement (par exemple, infrastructure, capacité), et (2) des
processus adverses ( 8) précédemment définis comme des sous-graphiques de groupes
d'activités. Pour ce faire, les caractéristiques sont sélectionnées en remplissant un vecteur
de caractéristiques définissant les éléments utilisés pour regrouper les événements et les
fils de discussion.

Il est important de noter que les vecteurs de caractéristiques peuvent être extrêmement
spécifiques, ce qui permet à un analyste de définir une activité particulière d'intérêt en
incluant les éléments observables particuliers (par exemple, les adresses IP, les domaines,
les logiciels malveillants) de sorte que deux groupes soient formés : les événements et les
fils de discussion qui font partie de l'activité et ceux qui n'en font pas partie.

En outre, les processus inclus dans un vecteur de caractéristiques sont un concept


puissant pour soutenir l'activité de communication non seulement par des moyens
observables mais aussi par des moyens spécifiques, indépendamment de l'infrastructure
ou de la capacité spécifique. Cela est particulièrement efficace contre les adversaires qui
peuvent changer souvent d'infrastructure et de capacité (les observables les plus
courants) mais qui maintiennent un processus semi-statique.

L'espace de caractéristiques est composé de toutes les caractéristiques principales et méta


des événements (par exemple, infrastructure,
§§ capacité, victime, résultat) ( 4 ) ainsi que de
tout processus adversaire défini ( 8 ). Dans l'espace des caractéristiques, les
caractéristiques les plus pertinentes et les plus optimales sont sélectionnées et/ou
créées24 , ce qui permet de définir le vecteur de caractéristiques. Enfin, chacune de ces
caractéristiques peut être combinée avec un poids identifiant son importance relative
dans la définition du groupe. Il existe plusieurs techniques bien connues pour
sélectionner (et éventuellement créer) les caractéristiques les plus pertinentes et
optimales [55]. La sélection/création des caractéristiques optimales du modèle de
diamant pour le regroupement d'activités est un domaine de recherche futur et sera
également spécifique à la mise en œuvre.
23Les
groupes d'activité soutiennent la défense des réseaux en temps réel basée sur le renseignement.
Comme les événements sont détectés en temps réel, des techniques de classification par apprentissage
automatique sont appliquées pour classer et associer les événements connus des groupes d'activités. En
fonction d'un ensemble de conditions préétablies (par exemple, si l'événement E est classé dans le groupe
d'activités X avec un niveau de confiance > 80 %), le système peut recommander aux mécanismes de
défense du réseau d'appliquer des techniques d'atténuation à l'activité. De cette façon, les opérations de
l'adversaire peuvent être atténuées en temps réel même si l'adversaire a modifié une partie de ses opérations
sans que les défenseurs aient à prévoir le changement.
24La
création de fonctionnalités (la création de nouvelles fonctionnalités à partir de fonctionnalités existantes)
est notée car souvent les analystes
utiliser une fonction pour comparer les caractéristiques en fonction de l' activité d'intrusion. Par exemple,
l'adresse IP d'un nom de domaine résolu peut être une caractéristique extraite si l'IP n'existait pas dans
la liste des caractéristiques originales, ce qui permet maintenant de corréler les événements faisant
référence au même domaine OU à l'IP qui lui est associée.
Tableau 3 : Exemple de définition d'un groupe d'activités Étapes 1
et 2

Problème analytiqueQuels événements et fils de discussion sont susceptibles


d'être con-
par le même adversaire qui utilise un certain
processus (processus 1) ? (par exemple,
l'attribution)
En vedette SpaceInfrastructureIP ,InfrastructureDomain,
CapacitéMD5, V ictimIP , V
ictimOrganisation, Méthodologie, Processus1,
Processus2, Processus3
Vecteur de caractéristiques (InfrastructureIP, CapacitésMD5, Processus1 )
RésultatTous les événements et fils de discussion seront regroupés par sim-
ilarités dans l'infrastructure IP, capacité de
hachage MD5 et processus d'adversaires définis
Processus1

Nous définissons l'espace de caractéristiques, FS, comme l'ensemble de toutes les


caractéristiques principales, méta et secondaires qui définissent les événements ainsi que
tous les processus adverses.

En outre, nous définissons le vecteur de caractéristique pour répondre à un problème


analytique, FVP R, comme

FVP R = ((f1, wf1 ), (f2, wf2 ), ... (fn, wfn ))

Où :

• n ≥ 1, il doit y avoir au moins un élément dans le vecteur de caractéristiques

• fn ∈ FS, chaque caractéristique du vecteur de caractéristique doit exister dans l'espace de


caractéristique

• FV ⊂ FS, le vecteur de caractéristique est un sous-ensemble de l'espace de


caractéristique

- fn est un élément nécessaire pour regrouper les événements et les fils de discussion afin
• d'aborder le problème analytique
PR

• wfnR∈≥et 0 < wfn1, le poids est un nombre réel qui décrit l'importance relative
de fn par rapport à tous les autres f , de sorte que w = 1 est une caractéristique de la
plus grande importance25
25Il ne
devrait pas y avoir d'élément ayant un poids donné de zéro dans le vecteur d'élément car cela
indiquerait que l'élément n'a pas d'importance. Dans ce cas, la caractéristique ne doit pas être incluse
dans le vecteur de caractéristique.
9.3 Étape 3 : Création

Les analystes créent initialement des groupes d'activités par un processus de


regroupement cognitif : un analyste compare les caractéristiques d'un événement avec
toutes les autres (par exemple, leur vecteur de caractéristiques) et, à l'aide d'une fonction
définissant la similarité, sépare les événements en groupes distincts (c'est-à-dire des
ensembles) avec une confiance associée au groupe auquel l'événement appartient.
Formellement, ces groupes deviennent des classes sur lesquelles des techniques
d'apprentissage automatique peuvent être appliquées, comme la classification en
la croissance des groupes d'activités (§9.4).

On s'attend à ce qu'une organisation définisse plus d'un problème analytique (via l'étape
1). Par conséquent, il est probable qu'il y ait plus d'une fonction de création de groupe
d'activités par instance de modèle de diamant. Par exemple, le regroupement
d'événements par le même acteur-adversaire apparent (c'est-à-dire le regroupement pour
l'attribution) et le regroupement d'événements par la vulnérabilité de la victime (par
exemple le regroupement pour la voie d'exploitation la plus probable) sont des problèmes
analytiques différents nécessitant des fonctions distinctes. En outre, certains problèmes
peuvent exiger que la fonction de regroupement place chaque événement et fil dans un
groupe alors que d'autres peuvent autoriser des aberrations (c'est-à-dire des événements
et des fils qui n'appartiennent à aucun groupe).

La création de groupes d'activités est un événement général de résolution de problèmes de


regroupement et de corrélation de fils de discussion portant sur un problème d'analyse
particulier. La fonction de regroupement dépend d'informations préalables telles que le
problème/objectif analytique et le vecteur de caractéristique particulier qui peut être
unique pour toute application donnée du modèle de diamant. Par conséquent, il est
probable qu'il n'existe pas de fonction de création de groupes d'activités unique pour
résoudre tous les problèmes d'analyse d'intrusion. Nous attendons des recherches plus
approfondies définissant des fonctions optimisant le regroupement pour des problèmes
particuliers d'analyse d'intrusion, comme le regroupement optimisé d'événements pour
l'attribution à l'adversaire.

Formellement, nous définissons une fonction de création de groupes d'activités, l'AGC


comme :

AttC(PR, FVP R, ET ) → AttS

AttS = {Att1, Att2, . . . , Attn}

Où :

• La RP est un problème analytique défini qui doit être satisfait par la fonction
• FVP R est le vecteur de caractéristique qui satisfait le problème analytique PR

• ET est l'ensemble de tous les événements et fils de discussion à regrouper

- AttC partitionne tous les éléments de l'ensemble d'événements/filières ET en un


• ensemble de n groupes d'activités,
AttS, basé sur le vecteur de caractéristique FVP R
- La fonction comprenant l'AttC peut fonctionner sur tous les éléments de l'ET
• définie en utilisant les caractéristiques et les processus définis dans le FVP R26

- AttS est l'ensemble des groupes d'activités tel que chaque groupe d'activités, Attn,
• répond à la définition d'un groupe d'activités

• Il est possible que la fonction de création n'établisse aucun groupe parce qu'il
n'existe aucune similitude, et donc n ≥ 0

9.3.1 Exemple de création d'un groupe d'activités

La figure 9 illustre comment une fonction de création de groupes d'activités (AttC),


utilisant un partitionnement strict avec des valeurs aberrantes, peut être définie pour
répondre au problème
§ posé dans l'exemple de la précédente section Feature Vector ( 9.2)
définissant des groupes basés sur un adversaire commun susceptible d'utiliser la même
infrastructure IP, la même capacité et un processus en 3 étapes. L'illustration montre un
ensemble nominal de 17 événements et fils (ES) qui sont groupés selon notre fonction et
notre vecteur de caractéristique pour créer trois groupes et deux événements errants et un
fil errant qui ne répondaient pas aux critères de la fonction et qui sont laissés non
groupés. Notre fonction a regroupé deux fils de discussion dans le groupe d'activités 3.

Pour notre exemple, nous dirons que la logique exprimée dans la fonction stipule que tout
fil qui contient le processus A→→
B C serait un groupe d'activité. Deux ou plusieurs threads
correspondant à un processus seraient corrélés au sein du même groupe d'activité si au
moins un événement de chaque thread (pas nécessairement dans le processus spécifié)
partageait une IP d'infrastructure et un hachage de capacité MD5 avec un niveau de
confiance au moins moyen. Maintenant que les données sont§§ organisées pour répondre à
la question analytique, les groupes peuvent être agrandis ( 9.4) et analysés ( 9.5) pour
fournir des informations susceptibles de répondre à la question.

9.4 Étape 4 : Croissance

Les analystes élargissent continuellement les groupes d'activités grâce à un processus de


reconnaissance des schémas cognitifs imitant la classification probabiliste pondérée par
la confiance : un analyste découvre un événement malveillant, compare l'événement à
tous les autres événements connus en fonction des similitudes de caractéristiques et de
leur confiance, et associe (c'est-à-dire classe) l'événement au groupe (c'est-à-dire à la
classe) le plus similaire (ou bien s'abstient de l'associer si la confiance n'atteint pas leur
seuil). Cette action permet de faire croître continuellement les groupes d'activités au fur
et à mesure que les événements et les fils sont caractérisés dans les groupes au fur et à
mesure qu'ils sont découverts, détectés ou reçus.

La figure 10 illustre la croissance des groupes d'activités : à mesure que les événements et
les fils sont découverts, détectés ou reçus, ils sont classés dans les différents groupes
d'activités en fonction de la caractéristique définie
26Les
opérations dans une fonction de création de groupes d'activités sont aussi larges que nécessaire et ne
sont pas tenues d'utiliser tous les éléments du vecteur de caractéristiques.
ème analytique, PR : Trouver des groupes d'événements et des fils de discussion qui partagent une infrastructure IP, des capacités et un processus donné (A>B>C
A
A Processus1
IP : A.B.C.DB
MD5 : CFABCA ...

B
C

C Fonction de création Groupe d'activité 1


de groupes
A Processus
d'activités, AGC 1 IP :
B E.F.D.D
A MD5 : FABEFC...
B AGC
C
B Groupe d'activités 2
A C
AA
Processus1
C B
IP : F.A.C.
BB B
MD5 : EAAFFC...

C CC
Non groupé Groupe d'activités 3
Événements et fils
Ensemble d'événements et de de discussion Groupes d'activités, AGS
fils de discussion, ET (aberrations)

Figure 9 : La création de groupes d'activités est illustrée de telle sorte qu'un groupe
d'événements et de threads est regroupé sur la base d'un vecteur de caractéristiques
→→
défini par : un processus adverse (A B C), un hachage de capacité MD5 correspondant et
une adresse IP d'infrastructure. Sur la base de ce vecteur de caractéristiques et d'une
fonction de création de groupe d'activités (AttC), les 17 événements et fils sont regroupés
en trois groupes, avec deux événements et un fil ne répondant pas aux critères de
regroupement et classés comme aberrants.
A
Processus1
Événements et fils de IP : A.B.C.DB
MD5 : CFABCA ...
discussion à venir

A
IP : E.F.D.D C
BMD5 : FABEFC... Groupe d'activité 1
Processus1
C BB IP : E.F.D.D
MD5 : FABEFC...

CC
Groupe d'activités 2
AA
Processus1
IP : F.A.C.
BB B
MD5 : EAAFFC...

CC
Groupe d'activités 3
Événements et
fils de discussion Groupes d'activités, AGS
non groupés
(valeurs
aberrantes)

Figure 10 : Illustration de l'étape 4, Croissance des groupes d'activité, les événements et


les fils sont découverts, détectés ou reçus et classés en permanence dans les groupes
d'activité existants sur la base du vecteur de caractéristiques défini précédemment. Dans
ce cas, les événements et les fils qui ne répondent pas aux critères sont des valeurs
aberrantes et ne sont pas groupés.
vecteur. Dans cet exemple, le fil répondant aux critères est classé dans le groupe
d'activités 2 tandis que les autres fils et événements sont classés comme aberrants. 27

9.5 Étape 5 : Analyse

Une fois qu'un groupe d'activités est défini et que les événements et les fils sont regroupés
au sein des groupes, il peut être analysé pour répondre au problème analytique spécifique
qui est traité. Cela nécessite généralement l'application d'outils et d'artisanat au-delà du
modèle du diamant. Par exemple, avec notre exemple de la figure 9, l'analyste va
probablement examiner chacun de ces groupes pour discerner les différences et les
similitudes, exposant ainsi de nouveaux problèmes analytiques à résoudre. Cela pourrait
même conduire à un réexamen de la fonction de sélection et de regroupement des
caractéristiques nécessitant une redéfinition (prochaine étape).

Nevertheless, the analyst now has the tools to analyze intrusion events and threads across
a larger scale including: potentially exposing longer-range adversary campaigns,
identifying similarities between seemingly dissimilar events, gathering a complete listing
of observed ad- versary capabilities and infrastructure, deducing adversary attribution
based on the victim-
set (i.e., cyber-victimology §5.1.2), and many other problems.

9.6 Step 6: Redefinition

Activity groups, like all clustering and classification-based functions, suffer from various
well-studied challenges. One such challenge is the assumption that the analyst can accu-
rately describe the feature vector and function used to cluster – or that their idea of a
cluster is correct to begin with. Another is overfitting and error propagation: where an
analyst or a system wrongly associates an event to a group propagating and potentially
magnifying that mistake over time. Therefore, it is normal that activity groups require
examination, anomaly detection, and redefinition (re-clustering) over time to discover
and correct errors. Furthermore, during this redefinition stage changes can (and should)
be considered to the feature vector and associated weights and algorithms to ensure the
underlying error is cor- rected. Manually, this is usually done through the discovery of
evidence which indicates an incorrect classification has occurred requiring re-clustering.

9.7 Activity Group Families

Activity groups are as varied as the enterprises behind the malicious activity. As such, the
identification and detection of millions of events could easily filter into a large number of
27
However, as previously described in Step 3, Activity Group Creation§ ( 9.3), the clustering function
is defined by the needs of the analyst and the particular analytic problem being solved and therefore
alternative clustering types are possible which may not use outliers but instead place every thread and
event into a group.
activity groups, some of which interact at a higher-level. Therefore, it is sometimes neces-
sary to develop a hierarchy of groups which model the increasingly complex organizations
behind the events in order to address higher-order questions and develop even more
strategic mitigation.28

Very much like an activity group, an activity group family is a set of activity groups which
share common features, except that the common features of groups within a family are
likely non-technical. For example, in the case of organized crime, a common funding and
tasking element may be responsible for multiple operations and therefore multiple
activity groups
– each of which are tracked and analyzed separately – are grouped within a family. This
makes the identification, organization, and mitigation strategy development of higher-
order elements, such as the crime-boss in this example, tractable and more effective.

For the purposes of analytic methodology, activity group families are treated to the same
6-step process as an activity group. They must be defined, created, grown, analyzed, and
redefined. They also have feature vectors and creation functions except that the creation
function used for clustering and classification operates across the features of an entire
group rather than individual events or threads. These terms and the associated functions,
features, and processes do not need to be re-defined as they have been discussed in full
previously
– except to say that they are slightly modified to support features and processes across
activity groups.

Formally, we define an activity group family as:

AttF = {Att1, Att2, . . . , Attn}

Où :

• n ≥ 1, an activity group family must contain at least one activity group

• Attn satisfies the definition of an activity group

• AttF is a set of activity groups which share one or more similarities

• AttF satisfies a particular analytic problem

- AttF is the outcome of a creation function and feature vector comparing activity
• groups
28
Evidence of such organization behind malicious activity is apparent in the “Phonemasters” case [45]
and Brenner argues persuasively in [56] that existing hierarchical organized crime models will necessarily
follow into cyberspace as they are the most efficient method of varied criminal enterprises – and
cyberspace will be a natural extension of criminal activities, especially the largest ones. However, our model
is not limited to cybercrime but extensible to any organized enterprise conducting a multitude of malicious
cyber activities which are necessary to group.
10 Planning and Gaming

From a mitigation perspective, many actions are possible. However, deciding the best
action to take to offset the adversary is challenging. Actions cost defenders money and/or
time to implement and are taken with the expectation that the action will adversely
impact adversarial efforts.

Our model provides an understanding of dependencies between adversary components.


For adversary efforts to succeed, complete threads must be available creating a pathway
be- tween the intent and result. The model aids in understanding how defender actions
will impact adversary capabilities by determining which components an adversary will
need to replace/fix/re-implement.

Additionally, defender actions should be chosen that cost defenders little but cost adver-
saries much more. Clearly, the reverse (i.e., costing the defender more and the adversary
less) is undesirable from a tactical or strategic mitigation perspective. Actions that cost
the defender more (especially significantly more) should be avoided if at all possible. The
cost to the adversary can be expressed as the cost (in money, resources, time) to recoup
the necessary capability and infrastructure to have a functional platform. Adversary cost
has multiple components including development time, infrastructure building cost/time,
retrain- ing time and costs, opportunity cost, and costs incurred from loss of readiness.
Defender costs also have multiple components such as money, time, as well as legal and
ethical risks which need to be addressed [13].

The Diamond Model is a fundamental concept helping to structure and strengthen


analysis to achieve its ultimate objective: mitigation. The Model does not prescribe
mitigation strategy or course of action development. These exist separate from the Model.
Instead, it supports many forms of decision making. The following are discussions on the
model’s applicability to aspects of several popular decision frameworks:

Joint Intelligence Preparation of the Operational Environment (JIPOE) US


Department of Defense military planning doctrine Joint Intelligence Preparation of the
Op- erational Environment (JIOPE) [12] is a well-understood and often cited resource
which establishes a process for the use of intelligence to develop courses of action. The
doctrine recognizes that a strategy will fail if based on only the nullification of adversary
infras- tructure and capabilities. Rather, it prescribes a combined approach which also
includes the identification of adversary resources, centers of gravity, as well as adversary
responses and courses of action. This approach identifies optimal areas for mitigation and
counters the adversary’s capacity to maintain and rebuild those capabilities and
infrastructure once mitigated. Our model supports such planning in that it:

- Assists in the identification of intelligence and information gaps through missing


• event features and phase-gaps in activity threads (JIOPE Step 1, Element 6)
• Supports the development of an adversary model (JIOPE Step 3, Element 1)

- Identifies adversary infrastructure and capabilities with a focus on resources


• (JIOPE Step 3, Element 3)

- Identifies adversary centers of gravity through activity thread and activity group
• anal- ysis (JIOPE Step 3, Element 4)

- Identifies adversary objectives and end state through activity thread analysis, victi-
• mology, and activity groups (JIOPE Step 4, Element 1)

- Determines likely adversary courses of action through activity-attack graph analy-


• sis where potential and preferred paths of attack can be identified (JIOPE Step 4,
Elements 2 and 3)

Kill Chain Analysis The Diamond Model and Kill Chain analysis are highly comple-
mentary. Kill Chain analysis allows an analyst “to target and engage an adversary to create
desired effects.” [11] The Diamond allows analysts to develop tradecraft and
understanding in order to build and organize the knowledge necessary to execute the Kill
Chain analysis. Two methods of integrating the two approaches are described:

- Once an analyst develops an activity thread, courses of action for each event along
• the thread can be identified using the Kill Chain’s course of action matrix. As
illustrated in Figure 11, courses of action for each of the Kill Chain stages are
identified for activity threads 1 & 2 from Figure 6. The power of the Diamond Model
is that courses of action can be designed to span multiple victims and across the
activity of an adversary making the actions even more powerful as they further
reduce the capacity of the adversary.

- Activity groups clustered by same likely adversary (i.e., clustering by attribution)


• with analysis of the largest common feature set amongst the events in a group can
provide the Kill Chain’s required key campaign indicators necessary to focus and
prioritize courses of actions.

Vulnerability Cover Common information assurance practice is to analyze a system (or


network) for vulnerabilities, ranking those vulnerabilities based on the specific concerns
of the organization (e.g., asset value and cost), followed by the application of mitigation to
those vulnerabilities. Through the generation of activity-attack graphs, this normal
process of deciding which paths of the graph to prune by mitigation (thereby denying use
of the path by the adversary) is now informed by adversary preference and potential.
Through the use of our model, traditional information assurance decisions are no longer
made by hypothesizing potential adversaries and their paths but rather by injecting actual
attack paths into the graph as well as projecting adversary preference and potential. This
approach provides more complete protection and increases the adversary cost as they
must now develop, train, and
Detect Deny Disrupt Degrade Deceive Destroy
Policy to
Web Create fake
Reconnaissance Analytics
Prevent
postings
Forum Use

Armement

Filter but
NIDS,
Email AV Email respond with
Livraison User
Scanning Queuing out-of-office
Education
message

Exploitation HIDS Patch DEP

Installation

HTTP HTTP
C2 NIDS NIPS
Whitelist Throttling

Action sur les Proxy HTTP


Firewall ACL NIPS Honeypot
objectifs Detection Throttling

Figure 11: Kill Chain Course of Action Matrix derived from threads 1 & 2 in Figure 6.
Mitigation actions for each category (e.g., disrupt, degrade, deny) were identified to
counter the effectiveness of the adversary’s events along the phases. This matrix format
and process is described in [11] as a method of identifying mitigation courses of action to
counter adver- sary campaigns – illustrating the power of combining the Diamond Model
and Kill Chain analysis.
operate beyond their current capability base.

Gaming Part of any effective mitigation strategy development is to game the adversary
in order to predict their next move. In this way a defender can both counter the current
activity and pre-position for future activity thereby countering the adversary. Planning for
both at the same time enables economical decisions satisfying both requirements. Our
model supports gaming in several ways to more accurately predict adversary responses to
environmental pressures (e.g., defender actions, patched vulnerability):

- It enables higher-order gaming around human decision making as the social-


• political and intent meta-features are an integrated aspect (e.g., what are the needs
and aspi- rations of the adversary? How can those be influenced or countered?).

• Through activity threads and groups, attribution deduction is possible via cyber-
victimology (§5.1.2) and other means.

- The fundamental support of hypothesis testing enables a more complete gaming


• sce- nario improving the value of gaming and the accuracy of its outcome.

11 Future Work

We recognize that the Diamond Model at present is cognitive and highly manual. We are
willing to accept this because it is, as its name implies, a model to be studied and refined
defined with respect only to accurately capturing the intrusion analysis process. However,
we are ultimately pragmatists and recognize that the model will be many times more
useful once automation and efficiencies are developed. As such, we hope we have
provided sufficient insight and citations of related efforts to motivate future work along
these lines.

One such invaluable automation would be the integration of the Diamond Model into
ana- lytic tools which are both automatically fed with intelligence from network sensors
as well as external reports from other organizations, especially those within a shared
threat
§ space ( 5.1.3). However, we expect that intrusion analysts will still be required to
input new intelligence and oversee automated feeds. This will require work into usability
to augment, rather than impede, the analytic work-flow. Furthermore, this could also
bring about auto- mated and formal hypothesis generation and testing providing instant
evaluation of analytic conclusions.

In order to achieve this, there must be a protocol to share contextual indicators and threat
intelligence to rapidly integrate information from all of these sources. We see the
Diamond Model as a foundation for achieving this and improving new or existing
protocols and formal languages (as [30, 27, 22, 24, 32]) to make them more contextual
and relational. This will also likely require further refinement of taxonomies. The
Diamond Model itself
provides the opportunity to define the features and sub-features into a never-ending
strata of information. However, different implementations of the model could conflict in
their definitions. Therefore, further refinement of the sub-models for each feature and
sub-feature using taxonomy fundamentals is critical [25].

There are also several miscellaneous elements which have been described as necessitating
future effort, such as:

- The definition of feature vectors and clustering/classification algorithms for


• particular analytic problems

- The potential integration of penetration test and vulnerability assessment output


• into activity-attack graphs

• Methods of preventing overfitting of intrusion analysis events during


clustering/classification

• A thorough examination and definition of event sub-features as a taxonomy

• The evaluation of variables and aspects to determining degrees of persistence

- A more thorough understanding of the Social-Political sphere and its role in


• mitigation decision making, including accounting for adversary needs and
aspirations

Lastly, the purpose of the model is to achieve more effective and accurate analysis
ultimately to enable planning, strategy, and decision-making to defend networks.
Therefore, while we have shown how the model can be used with several planning
frameworks, each one could be a work in itself and there are many other models to
consider.

For instance, a potential path to generate more effective and creative mitigation strategies
would be to extend the work of [14] and treat the activity thread as a group of
chromosomes in a co-evolutionary predator-prey environment using genetic algorithms.
This approach has previously shown promise and the activity threads model a well-
behaved genetic algorithm chromosome lending credence to this concept.

12 Conclusion

This paper presented the Diamond Model of intrusion analysis. It began with the atomic
element of all intrusion activity, the event, and its core features (adversary, victim, infras-
tructure, and capability) organized in the shape of a diamond. This event was further
refined with sub-features and meta-features allowing it to contain and relate all aspects of
a malicious event. From the event we derived several feature-centric approaches to assist
in the categorization of existing analytic tradecraft and the development of new
tradecraft. The model further extracted new understandings about malicious activity such
as the im- portance of the Social-Political relationship between adversary and victim and
the degrees
of persistence.

Furthermore, the Diamond Model captured the essence of intrusion activity as a set of
causal events related in an activity thread documenting the end-to-end process of the ad-
versary. Importantly, these threads are further augmented with attack graphs to create a
new intelligence-driven approach to traditional information assurance called activity-
attack graphs taking into account actual adversary attacks as well as potential and
preferred paths. The threads and events are then coalesced into activity groups which
address broader an- alytic problems and enable more strategic mitigation campaigns to
be developed. Lastly, activity groups can be hierarchical and organized into families
which better model sophisti- cated adversary organizations.

The Model has also been shown to be highly complementary with multiple mitigation
plan- ning and decision models including the Joint Intelligence Preparation of the
Battlespace, the Kill Chain, traditional information assurance vulnerability coverage, and
adversary gaming approaches.

Intrusion analysis has long been regarded as an art to be learned and practiced, rather
than a science to be studied and refined. Evidence of this is everywhere: from the focus
on analytic outcomes more than process and principles, to the transmission of knowledge
via stories and case-studies. However, approaching it only as an art has long delayed
improvements and understanding further slowing the evolution of threat mitigation
which relies on efficient, effective, and accurate analysis. Without knowing it, analysts
have used the Diamond Model for decades but have lacked the complete framework to
understand, improve, and focus their efforts.

It is time to recognize that the discipline is both an art and a science. The Diamond Model
addresses this challenge head-on integrating the art and science of intrusion analysis. The
Diamond Model accurately captures and organizes the foundational and fundamental
concepts which underpin all that intrusion analysts do as well as how intrusion analysis is
synthesized and used for mitigation and network defense. It has achieved its aims of
being both an informal cognitive analytic support and a formal framework applying
mathematical and computational concepts to intrusion analysis. However, its largest
contribution is that it finally applies the scientific rigor and the principles of
measurement, testability, and repeatability to the domain enabling intrusion analysis to
become more effective, efficient, and accurate leading to quicker, more effective, and
more efficient mitigation to defeat our adversaries.

References

[1] Richards J. Heuer Jr. Psychology of Intelligence Analysis. Central Intelligence


Agency, 1999.

[2] Chris Sanders. The 10 commandments


of intrusion analysis. [ONLINE] http:
//chrissanders.org/2011/01/the-10-commandments-of-intrusion-analysis/,
January 2011.

[3] Leo Obrsta, Penny Chaseb, and Richard Markeloffa. Developing an ontology of
the cy- ber security domain. In Paulo C. G. Costa and Kathryn B. Laskey, editors,
Proceedings of Semantic Technologies for Intelligence, Defense, and Security (STIDS) 2012,
pages 49–56, October 2012. [ONLINE] http://ceur-ws.org/Vol-966/.

[4] Clifford Stoll. Stalking the wily hacker. Communications of the ACM, 31(5):484–
497, May 1988.

[5] Steve Bellovin. There be dragons. In 3rd Usenix UNIX Security Symposium,
Baltimore, MD, USA, September 1992.

[6] Bill Cheswick. An evening with Berferd. In Firewalls & Internet Security,
chapter 10. Addison-Wesley, Reading, MA, USA, 1994.

[7] Lance Spitzer. The honeynet project: Trapping the hackers. Security & Privacy,
page 15, April 2003.

[8] Stephen Northcutt, Mark Cooper, Matt Fearnow, and Karen Frederick.
Intrusion Signatures and Analysis. New Riders Publishing, Indianapolis, IN, USA,
2001.

[9] SANS. [ONLINE] http://www.sans.org.

[10] Bernhard Amann, Robin Sommer, Aashish Sharma, and Seth Hall. A lone wolf
no more: Supporting network intrusion detection with real-time intelligence. In 15th
Inter- national Conference on Research in Attacks, Intrusions, and Defenses, pages 314–
333, Berlin, Heidelberg, 2012. Springer-Verlag.

[11] Eric M. Hutchins, Michael J. Cloppert, and Rohan M. Amin. Intelligence-


driven com- puter network defense informed by analysis of adversary campaigns and
intrusion kill chains. In L. Armistad, editor, International Conference on Information
Warfare and Security, volume 6, pages 113–125. Academic Conferences International,
Academic Publishing International Unlimited, 2011.

[12] US Department of Defense. Joint Tactics, Techniques, and Procedures for Joint
Intel- ligence Preparation of the Operational Environment (JP 2-01.3), June 2009.

[13] Sergio Caltagirone and Deborah Frincke. ADAM: Active defense algorithm and
model. In N.R. Wyler and G. Byrne, editors, Aggressive Network Self-Defense, pages
287–311. Syngress Publishing, Rockville, MD, USA, 2005.

[14] Sergio Caltagirone. Evolving active defense strategies. Technical Report CSDS-
DF- TR-05-07, University of Idaho, Moscow, ID, USA, 2005.
[15] Bruce Schneier. Attack trees. Dr. Dobbs Journal, 24(12):21–29, 1999.

[16] Richard Paul Lippmann and Kyle William Ingols. An annotated review of past
papers on attack graphs. Technical Report PR-IA-1, Massachusetts Institute of
Technology, Lexington Lincoln Laboratory, 2005.

[17] Xinming Ou, Wayne Boyer, and Miles McQueen. A scalable approach to attack
graph generation. In Proceedings of the 13th ACM Conference on Computer and
Communi- cations Security, pages 336–345. ACM, 2006.

[18] Kyle Ingols, Richard Lippmann, and Keith Piwowarski. Practical attack graph
genera- tion for network defense. In 22nd Annual Computer Security Applications
Conference, ACSAC’06, pages 121–130. IEEE, 2006.

[19] Lingyu Wang, Tania Islam, Tao Long, Anoop Singhal, and Sushil Jajodia. An
attack graph-based probabilistic security measure. In Data and Applications Security
XXII, pages 283–296. Springer, Berlin Heidelberg, 2008.

[20] John Homer, Ashok Varikuti, Xinming Ou, and Miles McQueen. Improving
attack graph visualization through data reduction and attack grouping. In
Visualization for Computer Security, pages 68–79. Springer, Berlin Heidelberg, 2008.

[21] Sebastian Roschke, Feng Gheng, and Christopher Meinel. Using vulnerability
informa- tion and attack graphs for intrusion detection. In Proceedings of the 6th
International Conference on Information Assurance and Security (IAS 2010), pages 104 –
109, At- lanta, GA, USA, 2010. IEEE Press.

[22] Vocabulary for event recording and incident sharing (VERIS). [ONLINE]
http://www. veriscommunity.net.

[23] ThreatConnect. [ONLINE] http://www.threatconnect.com.

[24] A structured language for cyber threat intelligence information (STIX).


[ONLINE]
http://stix.mitre.org.

[25] John D. Howard and Pascal Meunier. Using a common language for computer
security incident information. In Seymour Bosworth and M.E. Kabay, editors,
Computer Se- curity Handbook, chapter 3, pages 3.1–3.22. John Wiley & Sons, New
York, NY, USA, 4th edition, 2002.

[26] Frederick B. Cohen. Protection and Security on the Information Superhighway.


John Wiley & Sons, New York, NY, USA, 1995.

[27] Steven T. Eckmann, Giovanni Vigna, and Richard A. Kemmerer. STATL: An


attack language for state-based intrusion detection. Journal of Computer Security,
10(1):71– 163, 2002.
[28] Frederick B. Cohen. Information system attacks: A preliminary classification
scheme.
Computers and Security, 16(1):29–46, 1997.

[29] John D. Howard and Thomas A. Longstaff. A common lanaguage for


computer security incidents. Technical Report SAND98-8667, Sandia National
Laboratories, October 1998.

[30] Frederic Cuppens and Rodolphe Ortalo. LAMBDA: A language to model a


database for detection of attacks. In Proceedings of the Third International Workshop,
RAID 2000, pages 197–216, Berlin, Heidelberg, 2000. Springer-Verlag.

[31] Michel Cedric and Ludovic Me. ADELE: An attack description language for
knowledge- based intrusion detection. In Trusted Information, number 65, pages 353–
368. Springer US, 2002.

[32] Sophisticated indicators for the modern threat landscape: An introduction to


Ope- nIOC. [ONLINE] http://openioc.org/resources/An Introduction to
OpenIOC. pdf.

[33] Command and control. In Joint Publication 1-02: Department of Defense


Dictionary of Military and Associated Terms, page 103. US Department of Defense,
March 2009.

[34] Wim Van Eck. Electromagnetic radiation from video display units: An
evesdropping risk? Computers & Security, 4(4):269–286, 1985.

[35] MITRE. Common vulnerabilities and exposures. [ONLINE]


http://cve.mitre.org/.

[36] Stuart McClure, Joel Scambray, and George Kurtz. Hacking Exposed. McGraw-
Hill Osborne Media, 4th edition, 2003.

[37] classtype. In Snort Users Manual 2.9.3, page 179. The Snort Project, May 2012.

[38] Austin Troya, J. Morgan Groveb, and Jarlath O’Neil-Dunne. The relationship
between tree canopy and crime rates across an urban-rural gradient in the greater
Baltimore region. Landscape and Urban Planning, 106(3):262–270, June 2012.

[39] Will Gragido. Lions at the watering hole – the “VOHO” affair. [ONLINE] http:
//blogs.rsa.com/lions-at-the-watering-hole-the-voho-affair, July 2012.

[40] Kurt Baumgartner. Winnti-stolen digital certificates re-used in current


watering hole attacks on Tibetan and Uyghur groups. [ONLINE]
http://www.securelist.com/ en/blog/208194218/Winnti Stolen Digital
Certificates Re Used in Current Watering Hole Attacks on Tibetan
and Uyghur Groups, April 2013.
[41] Matthias Vallentin, Jon Whiteaker, and Yahel Ben-David. The gh0st in the
shell: Net- work security in the Himalayas. [ONLINE]
http://www.eecs.berkeley.edu/∼yahel/
papers/network-security-in-the-himalayas-cs294-28.pdf.

[42] Symantec Security Response. W32.Duqu: The


precursor to the next Stuxnet.
[ONLINE]http://www.symantec.com/content/en/us/enterprise/media/ security
response/whitepapers/w32 duqu the precursor to the next stuxnet. pdf,
November 2011.

[43] Red October: Diplomatic cyber


attacks investigation. [ONLINE] http:
//www.securelist.com/en/analysis/204792262/Red October Cyber Attacks
Investigation, 2013.

[44] Command Five Pty Ltd. SK Hack by an advanced persistent threat. [ONLINE]
http:
//www.commandfive.com/papers/C5 APT SKHack.pdf, September 2011.

[45] D. Ian Hopper and Richard Stenger. Large-scale phone invasion goes
unnoticed by all but FBI. CNN, December 1999. [ONLINE]
http://edition.cnn.com/1999/TECH/
computing/12/14/phone.hacking/.

[46] Nate Anderson. How one man tracked down Anonymous – and paid a heavy
price. Ars Technica, February 2011. [ONLINE] http://www.arstechnica.com/tech-
policy/ 2011/02/how-one-security-firm-tracked-anonymousand-paid-a-heavy-
price/.

[47] Jose Nazario. Georgia DDoS attacks – a quick summary of


ob- servations.[ONLINE] http://ddos.arbornetworks.com/2008/08/ georgia-
ddos-attacks-a-quick-summary-of-observations, August 2008.

[48] Brian Krebs. Cyber attacks target pro-Tibet groups. Washington Post, March
2008. [ONLINE] http://www.washingtonpost.com/wp-dyn/content/article/
2008/03/21/AR2008032102605.html.

[49] Bojan Zdrnja, Nevil Brownlee, and Duane Wessels. Passive monitoring of DNS
anoma- lies. In Proceedings of the 4th International Conference on Detection of Intrusions
and Malware and Vulnerability Assessments, DIMVA ’07, pages 129–139, Berlin, Heidel-
berg, 2007. Springer-Verlag.

[50] Manos Antonakakis, Roberto Perdisci, Wenke Lee, Nikolas Vasiloglou, II, and
David Dagon. Detecting malware domains at the upper DNS hierarchy. In Proceedings
of the 20th USENIX Conference on Security, SEC’11, pages 27–27, Berkeley, CA, USA,
2011. USENIX Association.

[51] Wolfgang John and Tomas Olovsson. Detection of malicious traffic on back-
bone links via packet header analysis. Campus-Wide Information Systems, (25):342–
358, 2008.

[52] S. Templeton and K. Levitt. A requires/provides model for computer attacks.


In Proceedings of the 2000 Workshop on New Security Paradigms, New York, NY, USA,
2001. ACM Press.
[53] Crime pattern analysis: An investigative tool. In Michael J Palmiotto, editor,
Critical Issues in Criminal Investigation, pages 59–69. Pilgrimage, 2nd edition, 1988.

[54] Douglas M. Hawkins. The problem of overfitting. Journal of Chemical


Information and Computer Sciences, (10):1–12, 2004.

[55] Huan Liu and Hiroshi Motoda. Feature Selection for Knowledge Discovery and
Data Mining. Kluwer Academic Publishers, Norwell, MA, USA, 1998.

[56] Susan W. Brenner. Organized cybercrime? how cyberspace may affect the
structure of criminal relationships. North Carolina Journal of Law & Technology, 4(1),
Fall 2002.

Vous aimerez peut-être aussi