Threat Intel 101 — Le modèle en Diamant

Tout analyste en Threat Intel reconnaîtra sa forme entre mille. Le modèle en Diamant : on l’adore, ou on le déteste. Pourquoi ? Souvent critiqué, le modèle en Diamant trouve sa valeur ajoutée dans la matérialisation visuelle d’axes relationnels et analytiques.

Dans une démarche de Threat Intelligence appliquée, SEKOIA concentre ses activités de recherche et d’analyse sur des acteurs ou groupes d’activités pouvant cibler ses clients. À ce titre, le contexte d’une attaque ou d’une campagne d’attaques est central. Pourquoi ai-je été ciblée ? Via quelles infrastructures ? Quels sont les scénarios probables et futurs dans mon secteur d’activité ? Pour répondre à ces interrogations, SEKOIA structure ses travaux par l’usage de modèles analytiques. Qu’en est-il du modèle en Diamant (Diamond Model) ?

Le modèle

Créé en 2013 par Sergio Caltagirone, Andrew Pendergast et Christopher Betz (Center for Cyber Threat Intelligence and Threat Research), le « modèle en Diamant pour l’analyse d’intrusions informatiques » est un framework rappelant le modèle en Diamant de Michael Porter, matrice dédiée à l’analyse stratégique et macroéconomique. Le modèle en Diamant revisité est, pour sa part, entièrement dédié à l’analyse d’attaques informatiques avancées.

Notre diamant représente un événement caractérisé par 4 piliers et nombre de « meta-features » :

  • Notre point de départ est une attaque ; une attaque est constituée d’ « événements » indivisibles et séquencés chacun représenté unitairement par un diamant.
  • A l’occasion de chaque événement, l’adversaire a pu déployer ses capacités sur une infrastructure à l’encontre d’une victime (les 4 angles du diamant).
  • Ces événements peuvent être condensés en fils ou « thread » d’activité, représentant une « campagne ».
  • Plusieurs événements et « threads » similaires (partageant certaines caractéristiques d’un des 4 angles) peuvent être réunis sous la bannière de « groupe d’activités ». Ces groupes d’activités peuvent constituer une base solide à partir de laquelle l’analyste pourra construire des scénarios offensifs ou défensifs aux « chemins » et issues multiples.
  • Des caractéristiques complémentaires (meta-features) permettent d’enrichir les données initialement collectées par le modèle : horodatage, phase de l’attaque, résultat de l’attaque, méthodologie employée, ressources utilisées, etc.
  • À chacun de ces éléments décrit ci-dessus est associé un indice de confiance.

Le modèle en Diamant est ainsi assez complet, et ses caractéristiques ne s’arrêtent pas à ses 4 angles bien connus ! Mais, concrètement, quels usages faire de ces éléments ?

Un modèle axé « renseignement sur la menace »

Le modèle en Diamant est dit « intelligence-centric ». Il a le mérite de schématiser une campagne, une attaque, sans se limiter à la cartographie d’indicateurs de compromission sur le cycle de vie d’une attaque informatique, ou dans les cases parfois trop rigides d’une Cyber Kill Chain©. Il repose sur sa colonne vertébrale, l’axe vertical « adversaire | victime ». Cet axe matérialise la relation centrale, primordiale, existant entre l’attaquant et la victime, souvent reléguée au second (voire dernier) plan dans des modèles se contentant de représenter les étapes techniques d’une attaque assortie de ses IOC. Il permet ainsi d’éviter l’effet tunnel ou la réponse unitaire à tel ou tel IOC.

Ici, l’analyse d’une intrusion est documentée de façon globale, en y intégrant son contexte, ainsi que toutes les informations non-techniques pouvant aider à sa compréhension. Tel qu’il est construit, le modèle incite l’analyste à se poser les bonnes questions. En remplissant l’axe « adversaire | victime », l’analyste se saisit du « pourquoi », du contexte de l’événement ; il ou elle s’inscrit résolument dans une démarche de renseignement sur la menace. Pour ces raisons, le modèle en Diamant est souvent vu comme l’outil d’attribution par excellence.

‘‘Intrusion analysis is as much about tcpdump as astronomy is about telescopes” Chris Sanders — The 10 commandments of intrusion analysis.

Sur l’axe horizontal dit « technologique », les données collectées concernant les infrastructures et les capacités de l’attaquant seront observées à l’aune de cette relation existant entre l’attaquant et la victime.

L’approche est finalement centrée sur l’attaquant : quels outils utilise-t-il pour cibler cette victime ? Comment et pourquoi ? La question du mobile, des motivations de l’attaquant est rapidement au centre de la réflexion, et du Diamant. Équidistant du centre, nous retrouvons la victime. Pourquoi a-t-elle été ciblée ? Peut-on identifier des victimes similaires (localisation géographique, secteur d’activité, etc.) ? En vous incitant à vous poser ces simples questions, le modèle en Diamant valorise l’apport de l’analyse de la victime : cette approche centrée sur la victime s’apparente à de la victimologie.

De pivots en pivots — Un outil pensé pour l’investigation et l’analyse

Le modèle en Diamant n’est pas statique. S’il parait, de prime abord, le réceptacle idéal pour résumer une attaque ou une campagne, sa finalité initiale est inverse. Il a en fait vocation à accompagner une démarche d’investigation, au cours de laquelle l’analyste ira de pivot en pivot. Vous pivotez quand une information, après avoir été analysée et enrichie, permet d’identifier une autre information de valeur. Pivoter permet de découvrir une nouvelle capacité, de nouvelles victimes, de nouvelles infrastructures, de nouveaux éléments sur l’adversaire, etc. Pivoter à l’aide du modèle en Diamant, c’est « sauter » d’angle en angle du Diamant. Et parce que la relation entre ces différentes informations est représentée visuellement, le modèle en Diamant vous aide à identifier et émettre des hypothèses analytiques auxquelles vous n’auriez pas nécessairement pensé.

Source : Diamond Model Poster
  1. Victim discovers malware capability
  2. Malware capability reverse engineered to discover C2 domain
  3. C2 Domain resolved to IP address
  4. Firewall logs reveal further victims contacting related IP address
  5. IP address renting reveals adversary

Séduisant sur le papier, un casse-tête à exploiter

Le choix d’un modèle analytique peut être stratégique pour une entreprise. Choisir le modèle en Diamant pour l’analyse d’intrusions, c’est opter pour une stratégie de défense, de détection et de collecte et d’enrichissement de logs en conformité avec le modèle.

Le choix d’un modèle analytique peut aussi être personnel à chaque analyste. Certains seront moins à leur aise avec le modèle en Diamant, parce que difficile à appréhender et à utiliser efficacement. Les threads, bien que séduisants sur le papier, sont complexes à matérialiser sans des outils adaptés.

Disons-le : bien que particulièrement puissant en théorie, le modèle en Diamant n’est pas user-friendly. Peu intuitif, il ne permet pas de façon efficace l’analyse avancée d’une attaque dans ses détails techniques, sauf à disposer d’une plateforme dédiée intégrant les différents algorithmes. Pourtant réputé compatible avec le modèle de la Cyber Kill Chain© de Lockheed Martin, la mise en œuvre de cette compatibilité semble nécessiter du temps et est rapidement illisible, ce qui pourrait finalement desservir l’analyste qui se consacrerait plus à la compréhension de l’exécution du modèle, qu’à l’analyse elle-même. L’exemple ci-dessous atteste de cette complexité.

Source : Présentation « THE DIAMOND MODEL FOR INTRUSION ANALYSIS: A PRIMER » d’Andy Pendergast, Threat Connect (Vous y comprenez quelque chose ? Nous, non !)

C’est pourquoi nombre d’analyste et incident handler préféreront analyser les attaques avec une Cyber Kill Chain©, ou un Framework comme MITRE ATT&CK, qu’avec un modèle en Diamant. Ce dernier n’interviendra avec efficacité que plus tard, quand il s’agira de prendre du recul à la suite de la gestion d’un incident.

Le modèle en Diamant trouvera son public chez les analystes en renseignement sur la menace, les décideur-euses et les slides Power Point.

Un modèle communication-compatible

D’expérience, nous savons que le modèle en Diamant a fait ses preuves lors de présentations. Synthétique, visuel, il fournit un snapshot d’une situation à un instant T, ou un résumé de l’état de connaissances sur une attaque, une campagne. Les décideur-euses en raffolent. Le modèle en Diamant favorise la compréhension globale de la menace à laquelle fait face une victime ou une cible. Il peut également permettre de synthétiser une menace ciblant un secteur d’activité ou une zone géographique. Il fera office de première de couverture à de nombreux rapports de façon efficace.

Plus qu’un modèle, un état d’esprit

Exploiter l’ensemble des fonctionnalités du modèle en Diamant (threads, paths, groupes d’activités…) est particulièrement complexe et chronophage. Mais l’usage du modèle en Diamant n’est peut-être pas sur le papier, mais dans l’esprit de l’analyste. Il constitue un guide efficace à la réflexion. Ses axes relationnels et ses hypothèses de pivot peuvent donner des idées et nourrir la réflexion de l’analyste.

Et vous, quel modèle préférez-vous ?



La “Purple Team” de SEKOIA alimente nos clients ainsi que nos consultants, notre Blue Team (SOC-as-a-Service & CERT) et notre Red Team (test d’intrusion, simulation d’APT & émulation d’adversaires) en Threat Intelligence : des renseignements pertinents et contextualisés (flux d’IoC, signatures, rapports stratégiques et techniques, investigations, etc.) sur les cybermenaces et l’évolution des modes opératoires des attaquants informatiques.