Академический Документы
Профессиональный Документы
Культура Документы
Résumé
Ce document présente un nouveau modèle d'analyse d'intrusion construit par des analystes,
issu d'années d'expérience, en posant la simple question suivante : "Quelle est la méthode sous-
jacente à notre travail ? Le modèle établit l'élément atomique de base de toute activité
d'intrusion, l'événement, composé de quatre caractéristiques essentielles : l'adversaire,
l'infrastructure, la capacité et la victime. Ces caractéristiques sont reliées entre elles par des bords
représentant leurs relations sous-jacentes et disposées en forme de diamant, ce qui donne son nom
au modèle : le modèle du diamant. Il définit en outre des méta-fonctionnalités supplémentaires
pour soutenir des constructions de plus haut niveau, telles que la liaison d'événements en fils
d'activité et la fusion d'événements et de fils en groupes d'activité. Ces éléments, l' événement, le
fil et le groupe contribuent tous à un modèle fondamental et complet d'activité d'intrusion
construit autour de processus analytiques. Il capture les concepts essentiels de l'analyse des
intrusions et des opérations adverses tout en permettant au modèle de s'étendre et d'englober de
nouvelles idées et de nouveaux concepts. Le modèle établit, pour la première fois, une méthode
formelle appliquant les principes scientifiques à l'analyse des intrusions - en particulier ceux de la
mesure, de la testabilité et de la répétabilité
- fournir une méthode complète de documentation, de synthèse et de relation avec les activités.
Cette approche scientifique et cette simplicité permettent d'améliorer l'efficacité, l'efficience et
la précision des analyses. En fin de compte, le modèle permet d'intégrer le renseignement en
1
temps réel pour la défense du réseau, en automatisant la corrélation entre les événements, en
classant les événements avec confiance dans les campagnes adverses, et en prévoyant les
opérations adverses tout en planifiant et en jouant des stratégies d'atténuation.
2
Contenu
1 Introduction 5
2 Travaux connexes 6
4 Événement "Diamant 8
4.1 Adversaire..........................................................................................................11
4.2 Capacité.................................................................................................................. 12
4.2.1 Commandement et contrôle (C2)...............................................................13
4.3 Infrastructure......................................................................................................... 13
4.4 Victime14
4.4.1 Vulnérabilités et expositions14
4.5 Méta-fonctionnalités de l'événement.......................................................................15
4.5.1 Horodatage 15
4.5.2 Phase 15
4.5.3 Résultat16
4.5.4 Direction17
4.5.5 Méthodologie17
4.5.6 Ressources17
4.5.7 Extensions des méta-fonctionnalités.........................................................18
6 Indicateurs contextuels 25
7 Pivot analytique 26
7.1 Approches "centrées............................................................................................... 26
7.1.1 Approche centrée sur la victime.................................................................26
7.1.2 Approche centrée sur les capacités28
7.1.3 Approche centrée sur l'infrastructure29
7.1.4 Approche centrée sur l'adversaire29
7.1.5 Approche centrée sur la politique sociale29
7.1.6 Approche centrée sur la technologie30
8 Fil d'activité30
8.1 Processus contradictoire36
8.2 Soutien aux hypothèses analytiques36
8.3 Graphique d'activité-attaque39
9 Groupes d'activités40
9.1 Étape 1 : Problème analytique42
9.2 Étape 2 : Sélection des caractéristiques43
9.3 Étape 3 : Création45
9.3.1 Exemple de création d'un groupe d'activités46
9.4 Étape 4 : Croissance46
9.5 Étape 5 : Analyse49
9.6 Étape 6 : Redéfinition49
9.7 Groupe d'activités Familles.....................................................................................49
11 Travaux futurs 54
12 Conclusion55
Liste des chiffres
1 Un événement sur les diamants................................................................................9
2 Un événement prolongé sur les diamants..............................................................19
3 Relations entre adversaires et victimes21
4 Degré de persistance Spectre22
5 Exemple de pivot analytique utilisant le diamant27
6 Exemple de fil d'activité pour les diamants31
7 Exemple de processus inverse pour les diamants37
8 Exemple de graphique d'activité-attaque39
9 Création de groupes d'activités47
10 Croissance des groupes d'activité48
11 Exemple de modèle de diamant et de matrice de plan d'action de la chaîne
d'élimination53
1 Introduction
Notre modèle est à la fois simple et complexe, informel et formel, utile pour l'analyse des
menaces tant internes qu'externes. De manière informelle, les analystes comprennent
facilement le modèle, ce qui le rend utile dans le feu de la poursuite au quotidien. Le
modèle est la base d'une ontologie2 et présente un cadre sur lequel on peut découvrir de
nouvelles activités, maximiser les possibilités de pivot analytique, corréler et synthétiser
de nouvelles informations, et poursuivre l'adversaire dans le temps, tout en améliorant la
communication et la documentation.
2 Travaux connexes
En matière d'analyse des intrusions, nous sommes aux côtés d'analystes et d'experts tels
que Stoll [4], Bellovin [5] et Cheswick [6] qui ont découvert et documenté des événements
malveillants avec une formation et des outils peu ou pas formels. Ils se sont souvent
appuyés sur des tonnes de données imprimées pour analyser l'activité et n'ont fait appel
qu'à leur intuition et à leurs compétences techniques. Leur documentation et leurs récits
initiaux ont conduit de nombreux analystes sur la voie de la chasse aux adversaires. Les
analystes d'intrusion modernes poursuivent cette tradition avec des efforts remarquables
et innovants comme le projet Honeynet [7].
Northcutt dans [8] et d'autres ont renforcé la formation analytique en présentant des
exemples d'activités de menace spécifiques et en donnant aux étudiants la possibilité de
comprendre les outils et les techniques de l'adversaire. La formation analytique pratique
dispensée par des organisations telles que la SANS [9] est désormais une source
importante de diffusion des techniques analytiques.
Bien que ces histoires, articles, livres et cours fournissent des arguments solides pour
enseigner les mécanismes de l'analyse des intrusions, ils n'offrent pas l'approche
scientifique nécessaire pour étayer le processus. Sans le modèle sous-jacent (formel ou
informel) pour expliquer comment les analystes évaluent et comprennent les activités
malveillantes, il est difficile, voire impossible, de faire évoluer l'artisanat.
Les graphiques d'attaque traditionnels tentent de générer toutes les voies d'attaque et
vulnérabilités possibles pour un ensemble donné de ressources protégées afin de
déterminer la défense la plus rentable et le plus grand degré de protection. Les
graphiques d'attaque ont été créés à partir des "arbres d'attaque" de Schneier et sont
devenus un outil précieux d'analyse de la vulnérabilité permettant de développer des
stratégies de défense en profondeur efficaces [15]. Jusqu'en 2005, les graphiques
d'attaque ont rencontré des difficultés importantes en termes d'extensibilité, de mesure et
d'utilisation [16]. Cependant, des progrès ont été réalisés en améliorant l'extensibilité
pour les réseaux de taille réelle (17, 18), la mesure (19) et l'utilisabilité (20). Notre modèle
définit un nouveau graphique d'attaque centré sur le renseignement, appelé fils d'activité,
et combine le renseignement et les graphiques d'attaque traditionnels en un graphique
d'attaque par activité. Les graphiques d'attaque par activité fusionnent l'analyse de la
vulnérabilité traditionnelle avec la connaissance de l'activité de l'adversaire. Ils intègrent
ce qui s'est passé avec les vecteurs d'attaque potentiels et préférés, ce qui permet une
analyse plus efficace et l'élaboration de stratégies d'atténuation. Cela permet en fin de
compte une allocation plus efficace des ressources de défense. En outre, des travaux
antérieurs dans [21] ont déjà montré l'applicabilité des graphiques d'attaque directement
dans les systèmes de détection d'intrusion. Cela permet aux fils d'activité et aux processus
adverses développés dans notre modèle d'être directement mis en œuvre dans les
systèmes de détection d'intrusion.
De nombreux systèmes, langues et taxonomies ont été développés pour permettre aux
analystes de documenter les activités malveillantes et de partager les indicateurs [22, 23,
24, 25, 26, 27, 28, 29, 30, 31, 32]. Notre modèle ne propose ni ontologie, ni taxonomie, ni
protocole de partage. Cependant, dans une étude récente sur les ontologies de la
cybersécurité, notre modèle est cité comme étant fondamental et suggère qu'il devrait
servir de base pour regrouper les ontologies existantes et construire les ontologies futures
[3]. En outre, notre modèle soutient l'argument selon lequel pour véritablement intégrer
le renseignement sur les menaces cybernétiques, nous devons éviter de représenter une
activité complexe et profondément relationnelle sous la forme d'une liste simple et plate
d'indicateurs techniques. Nous soutenons que pour parvenir à une atténuation stratégique,
l'activité d'intrusion doit être documentée et partagée en intégrant un contexte non
technique tout en préservant les relations essentielles et complexes.
Dans sa forme la plus simple (figure 1), le modèle décrit qu'un adversaire déploie une
capacité sur une infrastructure quelconque contre une victime. Ces activités sont appelées
"événements" et constituent les caractéristiques atomiques. Des analystes ou des machines
peuplent les sommets du modèle au fur et à mesure que les événements sont découverts
et détectés. Les sommets sont reliés par des arêtes qui mettent en évidence la relation
naturelle entre les caractéristiques. En pivotant entre les arêtes et à l'intérieur des
sommets, les analystes exposent davantage d'informations sur les opérations de
l'adversaire et découvrent de nouvelles capacités, infrastructures et victimes.
Un événement ne définit qu'une étape d'une série que l'adversaire doit exécuter pour
atteindre son objectif. En tant que tels, les événements sont ordonnés par phase par paire
adversaire-victime en fils d'activité représentant le déroulement des opérations de
l'adversaire. Les événements ET les fils d'activité sont
Les éléments nécessaires à une compréhension complète de l'activité malveillante en tant
qu'atténuation plus efficace et stratégique "exigent une nouvelle compréhension des
intrusions elles-mêmes, non pas comme des événements singuliers, mais plutôt comme
des progressions progressives". [11]
Une fois les fils d'activité établis, les événements peuvent alors être corrélés entre eux pour
identifier les campagnes adverses, et fusionnés en groupes d'activité pour identifier les
événements et les menaces similaires qui partagent des caractéristiques communes. Ces
groupes d'activités peuvent être utilisés pour la corrélation automatisée des événements
ainsi que pour le jeu et la planification d'options et de scénarios d'atténuation établissant
des plans stratégiques d'atténuation contre l'adversaire.
Les termes et concepts susmentionnés seront décrits et discutés plus en détail dans les
sections suivantes, en commençant par l'élément atomique du modèle - l'événement
diamant.
4 Événement "Diamant
Axiome 1 Pour chaque intrusion, il existe un adversaire qui fait un pas vers le but visé en
utilisant une capacité sur l'infrastructure contre une victime pour produire un résultat.
Un événement définit une activité discrète, limitée dans le temps et limitée à une phase
spécifique, dans laquelle une annonce, nécessitant des ressources externes, utilise une
capacité et une méthodologie sur une infrastructure quelconque contre une victime avec un
résultat donné. Bien entendu, il n'est pas nécessaire de connaître toutes les
caractéristiques pour créer un événement. Dans presque tous les cas, la plupart des
caractéristiques sont censées être inconnues et n'être utilisées qu'après la découverte
initiale, lorsque de nouveaux faits sont révélés et que davantage de données sont
recueillies.
Infrastructure Capacité
Victime
E = ((Adversaire, Confianceadversaire),
(Capacité, Confiancecapacité),
(Infrastructure,
Confianceinfrastructure), (V ictim,
Con f i a nc evi c t i m e ),
(Horodatage, Confiancehorodatage ),
(Horodatage, Confiancehorodatage ),
(Phase , Phase de confiance),
(Résultat , Confidenceresult),
(Direction, Confiancedirection),
(Méthodologie,
Confianceméthodologie),
(Ressources, Confidenceresources))
Pour plus de flexibilité, le n-uplet de base peut être développé en une hiérarchie de paires
ordonnées emboîtées (appelées sous-tuples ici pour plus de simplicité) afin de mieux
définir une caractéristique particulière et de capturer des connaissances pour une
corrélation future.
Un exemple d'extension de la fonction de victime pour fournir une définition plus précise
avec des informations telles que : l'organisation victime, l'adresse IP de l'hôte, le nom de
l'hôte (c'est-à-dire le nom d'hôte), l'application qui a été exploitée et le port TCP utilisé
pour exploiter l'application4
3L'
événement est un n-tuple de taille variable, plutôt que fixe, car le modèle n'est pas limité aux
caractéristiques définies ici et peut être élargi pour inclure d'autres éléments d'intérêt, comme ceux du
§
Diamant étendu 5. Une fois qu'une organisation a défini l'ensemble de ses caractéristiques, la taille du n-
uplet sera formellement définie pour ce cas particulier.
4Notez
que dans l'exemple, chaque sous-fonction de Victime a une valeur de confiance indépendante, mais on
pourrait
mettent également en œuvre le modèle dans lequel une valeur de confiance est simplement appliquée à toutes les
sous-fonctions.
(V ictim, Confidencevictim) =
((Organisation,
ConfidenceOrganisation),
(HostIPAddress, ConfidenceIP ),
(Hostname, ConfidenceHostname),
(Application, ConfidenceApplication),
(TCPPort, ConfidenceT CP P ort))
À des fins d'analyse, l'événement peut également être compris et représenté sous forme de
graphique, comme l'illustre la figure 1. Sous cette forme, les bords représentent les
relations naturelles entre les caractéristiques d'un événement et identifient ce qui est
normalement visible/découvrable du point de vue de § cette caractéristique grâce au
pivotement (décrit plus en détail au point 7). Les caractéristiques de base (adversaire,
capacité, infrastructure et victime) constituent un graphique simple, non orienté et
marqué par un sommet. Un événement organisé par le graphe, E, est ainsi défini :
Evertices ={Averse,
Infrastructure, capacité,
V ictim}
4.1 Adversaire
Client Adversaire Cette entité est susceptible de bénéficier de l'activité menée dans le
cadre de l'intrusion. Elle peut être la même que l'opérateur adverse, ou il peut s'agir d'une
personne ou d'un groupe distinct.
4.2 Capacité
La caractéristique de capacité décrit les outils et/ou les techniques de l'adversaire utilisés
lors de l'événement. La flexibilité du modèle permet de décrire la capacité avec une
fidélité suffisante. Nous souhaitons que la capacité soit comprise au sens large et qu'elle
comprenne tous les moyens permettant d'affecter la victime, depuis les méthodes "non
sophistiquées" les plus manuelles (par exemple, deviner manuellement un mot de passe)
jusqu'aux techniques automatisées les plus sophistiquées.
Capacité Capacité Toutes les vulnérabilités et expositions qui peuvent être utilisées par
la capacité individuelle, quelle que soit la victime, sont considérées comme sa capacité.
5Bien que
certaines distinctions et catégories de caractéristiques soient suggérées tout au long de ce
travail comme étant utiles pour l'analyse quotidienne, aucune prétention à l'exhaustivité n'est faite ni aucune
suggestion que ces distinctions forment une ontologie ou une taxonomie, et elles ne sont pas non plus
requises par le modèle.
6Des
activités diverses orchestrées par une autorité supérieure peuvent être modélisées et organisées dans le
cadre du modèle
en tant que familles de groupes d'activités ( §9.7).
Arsenal de l'adversaire L'ensemble des capacités d'un adversaire, et donc les capacités
combinées de ses capacités individuelles, constitue l'arsenal de l'adversaire.
Si la capacité de la capacité est connue, elle doit être documentée comme un sous-tuple
de la capacité ainsi que les trajectoires potentielles§sur un graphique d'activité-attaque (
8.3). Cette documentation initiale des capacités d'un annonceur peut s'enrichir
§ au fil du
temps avec l'analyse du groupe d'activités ( 9.5) qui permet de connaître son arsenal. Il
s'agit d'informations précieuses pour les décisions et la planification en matière
d'atténuation, qui permettent de prévoir les actions et les réactions potentielles de
l'adversaire.
4.3 Infrastructure
4.4 Victime
Une victime est la cible de l'adversaire et contre laquelle les vulnérabilités et les
expositions sont exploitées et les capacités utilisées. Comme pour les autres
caractéristiques, une victime peut être décrite de la manière nécessaire et appropriée :
organisation, personne, adresse électronique cible, adresse IP, domaine, etc. Toutefois, il
est utile de définir la personne de la victime et ses biens séparément, car ils remplissent
différentes fonctions analytiques. Les§§personae des victimes sont utiles dans les analyses
non techniques telles que la cyber-victimologie ( 5.1.2) et les approches centrées sur la
politique sociale ( 5.1) alors que les avoirs des victimes sont associés à des approches
techniques communes telles que l'analyse de la vulnérabilité.
Victime Persona Les victimes Personae sont les personnes et les organisations visées
dont les biens sont exploités et attaqués. Il s'agit notamment des noms d'organisations,
des noms de personnes, des secteurs d'activité, des fonctions, des intérêts, etc.
Les biens de la victime Les biens de la victime sont la surface d'attaque et consistent en
l'ensemble des réseaux, systèmes, hôtes, adresses électroniques, adresses IP, comptes de
réseau social, etc. contre lesquels l'adversaire dirige ses capacités. Les biens des victimes
existent souvent à la fois à l'intérieur et à l'extérieur du contrôle et de la visibilité d'une
personne, mais ils sont toujours disponibles pour être ciblés par un adversaire. Les
comptes de messagerie électronique et le stockage de données dans le nuage en sont des
exemples courants.
Un actif de la victime peut être la cible finale (par exemple, la victime) dans un événement
et ensuite être utilisé comme infrastructure dans d'autres événements (probablement une
infrastructure
§ de type 2, comme décrit précédemment au point 4.3). De cette manière, il
faut toujours veiller à ce que la cible apparente de l'activité ne soit pas nécessairement la
victime.
Axiome 3 Chaque système, et par extension chaque actif de la victime, présente des
vulnérabilités et des expositions.
Les capacités adverses exploitent les vulnérabilités et les expositions définies par l'Axiome
3 pour atteindre leur objectif. La flexibilité du modèle permet de les définir comme une
sous-fonction de la victime. Elles peuvent être décrites de manière aussi générale que le
"manque d'éducation des utilisateurs qui entraîne le clic sur les hyperliens transmis par
courriel" ou aussi spécifique qu'un CVE [35] pour répondre aux exigences de
documentation de l'événement.
Dans notre modèle, la liste des susceptibilités de la victime est facilement exprimée sous
la forme d'un sous-tuple de la victime. Cette information est précieuse lorsqu'elle est
comparée à la capacité de la victime et à l'arsenal de l'adversaire (§4.2) pour déterminer
les options d'atténuation. Comme pour la capacité capacitaire, cela peut être
décrites alternativement ou conjointement à l'aide de graphiques d'attaque d'activité (voir
§8.3).
4.5.1 Horodatage
Chaque événement est noté avec une date et/ou une heure à laquelle il s'est produit. Elle
peut être aussi précise que nécessaire ou exprimée sous la forme d'une plage de valeurs
indiquant l'heure de début et de fin de l'événement. L'horodatage fait partie intégrante du
regroupement des activités malveillantes, car il permet de réduire la confiance dans la
connaissance au fil du temps (c'est-à-dire une fonction de décroissance), la probabilité de
changements adverses augmentant avec le temps. De plus, les horodatages combinés à
une collection d'événements adverses dans le temps peuvent conduire à d'autres formes
uniques d'analyse, telles que l'établissement de la périodicité et la déduction du modèle
de vie comme dans [6].
4.5.2 Phase
Axiome 4 Toute activité malveillante comporte deux ou plusieurs phases qui doivent
être réussies - entièrement exécutées l'une après l'autre pour atteindre le résultat
souhaité.
Les activités malveillantes ne se produisent pas lors d'un seul événement, mais plutôt lors
de deux ou plusieurs événements. D'autres ont fourni des preuves suffisantes pour
soutenir la conclusion que toute activité d'intrusion doit être considérée comme une
chaîne d'événements [11, 36, 15]. Par exemple, un adversaire doit d'abord trouver le
victime (généralement par la recherche et/ou le balayage) puis découvrir un hôte
vulnérable, suivi par l'exploitation, l'établissement d'un commandement et d'un contrôle,
et enfin par des opérations d'un type ou d'un autre. Souvent, différentes capacités et
parfois différentes infrastructures sont utilisées au cours des phases d'une intrusion. Au
minimum, une victime doit d'abord être identifiée (ce qui pourrait être aussi simple que
la sélection d'une adresse IP aléatoire), puis une action doit être effectuée.
Notre modèle peut utiliser n'importe quel modèle d'opérations adverses par étapes
(comme [11, 36, 15]). 7 Plus tard, cela devient une caractéristique importante car la phase
de l'événement décrit son emplacement dans le fil d'activité (§8).
Bien que l'Axiom 4 garantisse un ensemble de phases pour chaque activité, il n'y a pas eu
de consensus ou de preuve qu'il existe un ensemble de phases satisfaisant la
caractérisation de toute activité malveillante. En fait, l'existence d'un si grand nombre de
définitions d'activités à phases multiples laisse supposer qu'il en est autrement, par
exemple [36, 11]. Par conséquent, nous supposerons que les utilisateurs du Diamant
peuvent définir des phases non essentielles pour certaines activités.
Formellement, les phases, P, sont définies comme un n-tuple ordonné, où n est le nombre
de phases qu'un utilisateur de modèle a défini comme nécessaire et suffisant pour décrire
tous les événements possibles et la phase de chaque événement est un, et seulement un,
élément du n-uplet ordonné P :
Où :
4.5.3 Résultat
Bien que les résultats et les conditions ultérieures des opérations d'un adversaire ne
soient pas toujours connus, ou qu'ils aient une grande valeur de confiance lorsqu'ils sont
connus, il est utile de les saisir. Il est particulièrement utile d'examiner les opérations
d'un adversaire pour déterminer leur taux de réussite avec des capacités particulières ou
contre des sous-ensembles de victimes. Un ensemble de conditions postérieures peut
également fournir une vue plus large de l'intention de l'adversaire.
() Il existe plusieurs
façons de documenter potentiellement le résultat. Une méthode consiste à utiliser le triple
critère de réussite, d'échec et d'inconnu. Une autre consiste à les séparer par les
principes fondamentaux de sécurité : Confidentialité compromise, Intégrité
7 L'
identification d'une phase pour chaque événement n'est pas essentielle pour maintenir les
connaissances et corréler les événements, mais elle est utile pour la planification de l'atténuation et l'analyse
de la chaîne de la mort.
Compromis, et disponibilité compromise. Alors qu'une autre approche pourrait
documenter toutes les conditions post-événement résultant de l'événement, telles que les
informations de ciblage obtenues (lors de la phase de reconnaissance) ou les mots de
passe exfiltrés plus tard utiles lors d'attaques masquées. En outre, on pourrait utiliser une
taxonomie existante pour les résultats des attaques, comme les catégories décrites par
Cohen dans [26].
4.5.4 Direction
La directivité d'un événement est importante lorsque les options d'atténuation et le lieu de
détection sont pris en compte. Cette méta-fonctionnalité est généralement utile pour
décrire les événements basés sur le réseau, mais peut également être utile pour décrire les
événements basés sur l'hôte. Il y a généralement sept valeurs possibles pour cette
fonctionnalité : Victime à infrastructure, Infrastructure à victime, Infrastructure à
infrastructure, Adversaire à infrastructure, Infrastructure à adversaire, Bidirectionnel ou
Inconnu. En conservant ces informations et en tenant compte de l'orientation de l'activité
de l'adversaire dans le temps, il est possible de prendre de meilleures décisions quant à la
combinaison de mesures de détection et d'atténuation à prendre uniquement à
l'extérieur, à l'extérieur ou à l'intérieur pour contrer l'adversaire.
4.5.5 Méthodologie
4.5.6 Ressources
Axiome 5 Tout événement d'intrusion nécessite une ou plusieurs ressources externes pour
être satisfaite avant de réussir.
La méta-fonctionnalité des ressources énumère une ou plusieurs ressources externes dont
l'événement a besoin pour être satisfait. Les ressources doivent être comprises au sens
large comme tous les éléments de soutien dont dépend l'événement, et donc chaque
élément central et méta-fonctionnalité. Cette méta-fonctionnalité devient importante
lorsque les stratégies d'atténuation des contraintes sur les ressources et du centre de
gravité sont prises en compte, ainsi que l'identification des lacunes dans les
connaissances et la vérification des hypothèses, comme décrit
plus loin au §8.2.
Plusieurs méta-fonctionnalités ont été décrites qui fonctionnent bien intégrées dans le
modèle. Il existe de nombreuses autres méta-fonctionnalités d'un événement d'intrusion
malveillante dont l'inclusion peut être envisagée en fonction des besoins de l'organisation
: la source de données (la source des données qui ont capturé ou détecté l'événement),
l'auteur (l'analyste-auteur de l'événement), la méthode de détection (l'outil, la technique ou
la capacité qui a détecté l'événement malveillant), la signature de détection (la signature ou
l'heuristique qui a détecté l'événement malveillant), etc. L'ajout de méta-fonctionnalités
supplémentaires améliorera le modèle en permettant aux utilisateurs, aux analystes et
aux organisations de conserver des informations importantes associées à un événement
en vue d'une utilisation future (comme la recherche d'efficacité ou le crédit de
découverte/auteur, l'affinement des analyses, la compréhension des intervalles de confiance,
le contrôle de la qualité, etc.)
Phase
d'horodatage Adversaire
des méta-
fonctionnalités Social-
politique
Ressources sur
la
méthodologie
de la direction
des résultats
Infrastructure Capacité
Technologie
Victime
Axiome 6 Une relation existe toujours entre l'Adversaire et sa ou ses victimes, même
si elle est lointaine, fugace ou indirecte.
Les paires adversaire-victime sont basées sur une relation producteur-consommateur qui
n'est pas liée aux besoins et aux aspirations socio-politiques de l'adversaire (par exemple,
générer des revenus, se faire accepter par la communauté des pirates, devenir un
hégémon, augmenter les profits de l'entreprise). 8 La relation dénote le(s) besoin(s) de
l'adversaire et la capacité de la victime à satisfaire le(s) besoin(s) définissant l'intention de
l'adversaire (par exemple, l'espionnage économique, l'espionnage traditionnel, la fraude
criminelle, l'attaque par déni de service, la dégradation de sites web). La victime fournit
involontairement un "produit" (par exemple, des ressources informatiques et de la bande
passante en tant que zombie dans un réseau de zombies, une cible pour la publicité, des
informations industrielles ou commerciales sensibles pour l'espionnage économique, des
informations financières et des noms/mots de passe pour la fraude) tandis que
l'adversaire "consomme" son produit.
Les axes 2 et 6 peuvent être combinés pour indiquer qu'il y a des adversaires et qu'ils
établissent inexplicablement une relation avec leur(s) victime(s). Cependant, tous les
navires de la relation Adversaire-Victime ne sont pas égaux. Certains adversaires
exécutent des opérations "smash and grab" sans se soucier de l'accès ou des données au-
delà de ce qui est immédiatement disponible, sans se soucier de perdre l'accès à tout
moment. D'autres adversaires persistent obstinément dans leurs efforts contre certaines
victimes, même en dépit d'importantes mesures d'atténuation. Certains adversaires vont
même jusqu'à exercer des représailles contre ceux qui limitent leurs activités [6]. La
persistance de l'adversaire à continuer d'obtenir l'accès et/ou des informations d'une
victime est une caractérisation possible, bien qu'importante, de la relation entre
l'adversaire et la victime.
En tant que tel, et compte tenu des preuves de relations persistantes et non persistantes,
l'axiome suivant peut être avancé :
8Le
terme social-politique est soigneusement choisi pour catégoriser le vaste ensemble de besoins et
d'aspirations de la majorité des adversaires, qui comprend, sans s'y limiter, les individus, les
partenariats, les collectifs peu organisés, les groupes hiérarchisés, les acteurs non étatiques et étatiques.
Leurs besoins peuvent être décrits de manière générale en termes sociaux et politiques. On pourrait
soutenir que la politique est une extension des besoins sociaux, celle des individus qui s'organisent sous
l'autorité pour satisfaire les désirs collectifs. Cependant, nous pensons que la séparation de ces deux
termes permet d'obtenir le meilleur équilibre entre le dialogue sur les besoins des individus/groupes non
étatiques et les besoins de l'autorité (par exemple, le gouvernement ou l'armée) et la manière dont ces
besoins influencent la sélection des victimes et donc les décisions d'atténuation.
Tous les adversaires-victimes
Relations
Persistant
Relations entre adversaires et victimes
Il n'est pas nécessaire que, parce qu'un adversaire est persistant contre une victime, il soit
persistant contre toutes les victimes. Par exemple, dans une activité, l'adversaire peut y
accéder, déterminer qu'elle n'a aucune valeur et partir sans se soucier de la persistance.
Par contre, dans une autre activité, l'adversaire peut persister beaucoup plus longtemps
afin d'acquérir une plus grande valeur. D'un autre côté, une victime peut être l'hôte de
plusieurs adversaires dont certains peuvent être persistants alors que d'autres ne le sont
pas. Par conséquent, la persistance ou la non-persistance est déterminée par le couple
particulier adversaire-victime.
La figure 4 : spectre du degré de persistance montre que les relations entre adversaires ne
sont pas toutes égales, mais qu'elles se situent plutôt dans un spectre entre fugace et
durable. Le degré de persistance d'une relation adversaire-victime particulière est
fonction de nombreux éléments et évolue également dans le temps.
En outre, la persistance n'est pas une caractéristique binaire ni statique. Alors qu'il est
bien connu que de nombreuses intrusions persistantes peuvent être atténuées par des
mesures techniques, comme dans Stoll [4], Cheswick dans "Berferd" [6] montre que
certains adversaires résistent aux mesures techniques et même aux tentatives
d'humiliation publique. Dans le cas de "Berferd", l'atténuation a finalement été obtenue
par un appel téléphonique aux mères des pirates. Par conséquent, le degré de persistance
Corollaire 1 Il existe divers degrés de persistance de l'adversaire, qui reposent sur les
fondements de la relation entre l'adversaire et la victime.
- La force relative des besoins de l'adversaire que la victime satisfait par rapport à
• d'autres besoins
Pour les relations adverses persistantes ou non persistantes, le placement sur le spectre
est unique à chaque paire adversaire-victime. Pour faciliter la référence et l'analyse, et
sans négliger la complexité et le continuum que représente le spectre, nous considérons
généralement deux classes de victimes sur le spectre : les victimes d'opportunité et les
victimes d'intérêt.
Victime d'opportunité Une victime qui est une marchandise non réutilisable dans les
opérations d'un adversaire où la perte d'accès ne serait probablement pas remarquée ni
n'amènerait l'adversaire à dépenser des ressources pour retrouver l'accès. Les victimes de
cette classe se situent à gauche du spectre de la persistance, vers une relation "fugace"
ainsi que dans le cadre d'une relation non persistante. Ces victimes ont probablement été
ciblées au départ parce qu'elles étaient vulnérables et disponibles au bon moment.
Victime d'intérêt Produit non durable dont l'accès continu offre une valeur suffisante à
un adversaire pour que la perte de l'accès entraîne une notification et que l'adversaire
dépense des ressources pour retrouver l'accès à cette victime ou à des victimes connexes.
Les victimes de cette catégorie se situent dans la partie droite du spectre persistant vers la
"pérennité".
Il est important de noter qu'une relation Adversaire-Victime persistante n'est pas statique
sur le spectre - elle peut se déplacer. Ce n'est pas parce qu'une victime est fugace au
départ et qu'elle est victime d'une opportunité qu'elle ne peut pas changer par la suite. Par
exemple, si une victime est initialement exploitée avec un ver qui se propage de lui-même
mais que l'adversaire trouve que la victime a plus de valeur qu'une simple marchandise,
elle peut devenir une victime d'intérêt qui évolue tout au long du spectre vers la
"pérennité".
5.1.2 Cyber-victimologie
Notre modèle est unique en ce sens qu'il place la victime et l'adversaire dans un espace
équivalent et met en évidence la relation habituellement tacite entre les deux. En outre, à
mesure que notre modèle s'étend pour englober de nombreux adversaires et victimes § par
le biais de fils d'activité
§ ( 8 ) et de groupes d'activité ( 9 ), nous pouvons commencer à faire
appel à l'expertise de la criminologie et de la victimologie, ce qui nous amène à nous poser
des questions importantes telles que
• Pourquoi une entité particulière a-t-elle été victime ?
• Existe-t-il un ensemble commun de victimes ?
Les récents attentats de type "watering-hole"10 illustrent la manière dont les adversaires
utilisent ce concept pour profiler leurs victimes afin de placer un exploit dans l'endroit le
plus lucratif. Par exemple, en avril 2013, un récent exploit mis en scène sur des sites web
d'activistes tibétains a tenté d'exploiter tout visiteur disposant d'un navigateur vulnérable
[40]. Cependant, si la fonction socio-politique est utilisée efficacement
§ en conjonction
avec l'approche centrée sur la victime ( 7.1.1), il est possible de prévoir l'emplacement de
certains points d'eau et de mettre en place une détection/atténuation ciblée afin de
prévenir l'activité malveillante.
5.2 Technologie
6 Indicateurs contextuels
Les indicateurs sont les éléments d'information utilisés par les systèmes et les analystes
pour détecter les opérations ad hoc. Dans le cours normal des affaires, les indicateurs
sont chargés dans les systèmes de détection qui alertent les analystes sur les activités
adverses potentielles. Les indicateurs traditionnels se limitent à des détails techniques.
Certains les ont étendus pour inclure des métadonnées supplémentaires [32]. Cependant,
il est temps que les indicateurs s'étendent pour inclure des éléments non techniques,
comportementaux et conceptuels qui augmentent la détection automatisée, mais qui ne
sont pas directement mis en œuvre par celle-ci.
7 Pivot analytique
En utilisant la figure 5 comme exemple : (pivot 1) une victime découvre un logiciel malveillant
sur son réseau, (pivot
2) le malware est inversé, exposant le domaine de commande et de contrôle (C2), (pivot
3) le domaine est résolu, exposant l'adresse IP sous-jacente qui héberge le contrôleur du
malware, (pivot 4) les journaux du pare-feu sont examinés, éclairant d'autres hôtes
compromis dans le réseau de la victime qui établissent des communications avec l'adresse
IP du contrôleur du malware maintenant révélée, et enfin (pivot 5) l'enregistrement de
l'adresse IP révèle des détails sur l'adversaire, fournissant une attribution potentielle de
l'adversaire.
Infrastructure Capacité
(3) Le
domaine C2
se résout en
C2
Adresse IP
Figure 5 : Le pivotement analytique à l'aide du diamant est illustré. L'une des fonctions
les plus puissantes du Diamant, le pivotement permet à un analyste d'exploiter la relation
fondamentale entre les fonctions (mise en évidence par les bords entre les fonctions) pour
découvrir de nouvelles connaissances sur les activités malveillantes.
lié à une victime potentielle révèle les autres éléments connexes (et liés aux diamants) :
les capacités et les infrastructures malveillantes. Le projet Honeynet est un excellent
exemple de cette approche. En établissant un hôte spécialement configuré pour être
victime, ils invitent les adversaires à exploiter l'hôte, révélant ainsi leurs capacités et leur
infrastructure qui peuvent ensuite être rendues publiques à des fins d'atténuation et
d'éducation [7].
Un autre exemple intéressant de l'approche centrée sur la victime est celui des analystes
qui surveillaient les services destinés aux utilisateurs himalayens considérés comme étant
la cible d'un adversaire très compétent [41]. Cela, comme le prévoyait le modèle du
diamant, a produit de nouvelles informations sur les capacités et les infrastructures
malveillantes lorsque l'adversaire a attaqué les utilisateurs du réseau surveillé. Il est
intéressant§ de noter que cette approche centrée sur la victime a été combinée avec
l'approche centrée sur la politique sociale ( 7.1.5), ce qui a permis aux chercheurs de cibler
un adversaire spécifique en prédisant sa victime, en augmentant ses chances de succès et
en renforçant la confiance dans l'attribution.
L'approche centrée sur les capacités exploite les caractéristiques d'une capacité pour
découvrir les autres éléments liés aux opérations adverses : les victimes contre lesquelles
cette capacité est utilisée, l'infrastructure soutenant la capacité, la technologie permettant
la capacité, les indices d'autres capacités connexes et les indices (possibles) de
l'adversaire. Les résultats de cette approche sont le plus souvent observés dans les
rapports des fournisseurs d'anti-virus.
Comme second exemple, l'analyse de Kaspersky sur "l'Octobre rouge" fournit une
excellente étude de cas sur l'analyse centrée sur les capacités avec des pivots multiples.
Ici, le travail commence avec la capacité des logiciels malveillants et est conçu de manière
inverse pour la technologie (HTTP, cryptage RC4, compression zlib), les structures C2 et
l'infrastructure. La capacité a ensuite été utilisée dans un pays combiné avec sa base de
données de détection antivirus des victimes (pivot entre la victime et la capacité) pour
détecter "plus de 1 000 fichiers associés différents", qui ont également été inversés pour
identifier d'autres structures (pivot entre la capacité et l'infrastructure) qui ont ensuite été
"fusionnées"12 pour identifier les victimes au niveau mondial (pivot entre l'infrastructure et
les victimes). Chaque victime a ensuite été identifiée en fonction de sa position socio-
politique (par exemple, ambassade, gouvernement, armée, énergie), probablement pour
permettre au lecteur de déduire les adversaires potentiels qui auraient pu correspondre à
la position socio-politique de la victime.
n eeds utilisant la cyber-victimologie (§5.1.2) [43].
12 Le
"Sinkholing" est une technique de défense agressive visant à prendre le contrôle de l'infrastructure
adverse à des fins d'atténuation (l'adversaire ne peut plus utiliser ce qu'il ne contrôle pas) et d'analyse (les
logiciels malveillants et les victimes continuent à communiquer avec l'infrastructure désormais contrôlée par
le défenseur).
7.1.3 Une approche centrée sur l'infrastructure
L'équipe du Commandement Cinq a fait preuve d'une approche fortement centrée sur les
infrastructures dans son enquête sur SKHack [44]. Alors que les premiers détails ont été
glanés à partir des logiciels malveillants découverts au cours de la réponse, les auteurs ont
utilisé les résolutions des domaines de rappel connus aux robes de publicité IP et ont
ensuite pivoté vers les informations d'enregistrement WHOIS pour découvrir de
nombreux autres domaines avec un registrant commun (pivot infrastructure-à-
adversaire). Ils ont ensuite réussi à cartographier entièrement une infrastructure qui
n'avait pas été utilisée lors de l'attaque mais qui était probablement contrôlée par le
même positionnement adverse pour des actions défensives préventives (par exemple,
bloquer l'accès au réseau de ces domaines avant leur utilisation opérationnelle). Des
recherches plus approfondies sur les domaines enregistrés ont également permis d'obtenir
des informations sur les logiciels malveillants utilisés dans d'autres attaques contre
différentes victimes, mais qui ont probablement été utilisés par le même adversaire (pivot
infrastructure-capacité).
On pourrait théoriser que l'approche centrée sur l'adversaire est la plus difficile des
différentes approches centrées. Elle consiste à surveiller directement un adversaire pour
découvrir ses infrastructures et ses capacités. Bien sûr, cette approche sera probablement
la plus fructueuse, mais elle est limitée par le besoin d'accès. Par exemple, le Bureau
fédéral américain d'investigation (FBI) a surveillé les appels téléphoniques et l'activité des
modems du groupe de piratage "Phonemasters" en identifiant l'ensemble de leurs
opérations, y compris les autres adversaires impliqués ainsi que leurs victimes, leurs
capacités et leurs infrastructures [45]. Cependant, il faut se méfier des récits d'autres
personnes qui suivent leurs adversaires de trop près et en paient le prix [46].
L'approche centrée sur la politique sociale est unique. Seule, elle ne conduit pas
directement à de nouveaux éléments ou indicateurs, mais tire plutôt parti d'une relation
attendue entre l'adversaire et la victime pour émettre des hypothèses sur qui peut être
une victime et quels peuvent être ses adversaires, ou encore qui peut être un adversaire et
ses victimes attendues. Cela peut ensuite conduire à des éléments qui peuvent être
exploités en utilisant l'approche centrée sur l'adversaire ou la victime pour obtenir des
détails tactiques.
13Les analystes
exploitent souvent le lien entre l'infrastructure et l'adversaire en exportant les
informations d'enregistrement, mais sont souvent déjoués par de fausses informations. Cependant, les
fausses informations (par exemple, celles qui figurent dans l'enregistrement d'un domaine) peuvent être
utiles si l'adversaire utilise les informations de manière cohérente en fournissant une personne commune
qui peut être suivie et/ou tracée entre les événements malveillants
Les conclusions analytiques tirées de la corrélation entre les activités d'intrusion et les
événements politiques réels sont en fait assez courantes. Dès 1990, Cheswick a établi une
corrélation entre l'activité d'intrusion contre son réseau et la guerre du Golfe de 1990-1991
[6]. Plus récemment, les attaques DDoS de 2008 en Géorgie et les attaques soutenues
contre les groupes pro-Tibet ont été corrélées aux événements politiques actuels [47, 48].
Cependant, il faut tenir compte de l'éternelle mise en garde selon laquelle la corrélation
n'est pas une cause.
8 Fil d'activité
L'axe 4 stipule qu'un adversaire n'agit pas dans un événement unique contre une victime,
mais plutôt dans une chaîne d'événements causaux au sein d'un ensemble de phases
ordonnées dans lesquelles, généralement, chaque phase doit être exécutée avec succès
pour atteindre son objectif. 14 Un fil d'activité est un graphique ordonné en phases dirigées
où chaque sommet est un événement et les arcs (c'est-à-dire les arêtes dirigées) identifient
les relations causales entre les événements. Les arcs sont étiquetés avec la confiance
analytique établissant la relation causale, que le chemin soit ET (nécessaire) ou OU
(facultatif - il y a plus d'un chemin potentiel à partir d'un événement), que l'arc soit réel
ou hypothétique, ainsi qu'avec l'information ou la ressource que l'événement précédent
fournit et qui est nécessaire pour que l'événement suivant se produise. 15 Les fils sont
organisés verticalement de telle sorte que chaque fil décrit tous les événements causaux
qu'un adversaire a exécutés contre une victime spécifique (toutefois, la mise en œuvre du
modèle définit la caractéristique de la victime) visant collectivement à réaliser l'intention
de l'adversaire.§ Par conséquent, chaque fil est spécifique à une paire adversaire-victime -
bien que dans de nombreux cas, les fils d'activité puissent ne varier que légèrement d'une
victime à l'autre, car
14Comme
indiqué au point 4.5.2, l'ensemble des phases peut comprendre des phases non essentielles pour
une activité donnée et, par conséquent, toutes les activités peuvent ne pas être conformes à l'ensemble
complet des phases disponibles. C'est pourquoi nous disons qu'en général, chaque phase doit être exécutée
avec succès pour atteindre une intention, mais cela ne vaut pas nécessairement pour toutes les phases de
l'ensemble de l'activité.
15Les deux
concepts ET/OU et exigences/fournitures ont été incorporés à partir des modèles précédents et les
deux
sont utiles dans différents modes d'élaboration de stratégies d'atténuation. Les chemins d'attaque conjonctifs
et disjonctifs sont empruntés au travail original de Schneier sur les arbres d'attaque [15] et sont utiles pour
l'accessibilité, l'optimisation des chemins et d'autres techniques d'analyse de graphiques pour développer des
stratégies d'atténuation. Le concept de graphiques d'attaque centrés sur les ressources est emprunté à [52] et
est utile pour le développement de stratégies d'atténuation des contraintes sur les ressources. Cela ne veut
pas dire que les deux doivent être utilisés ensemble, mais plutôt qu'ils offrent un maximum de possibilités
d'appliquer différentes techniques pour une comparaison plus poussée, car il n'a pas été démontré qu'ils sont
optimaux en eux-mêmes pour générer des stratégies d'atténuation. Les résultats de ces techniques peuvent
ensuite être comparés à l'aide d'un modèle d'aide à la décision tel qu'ADAM afin d'évaluer les différents
risques, coûts et avantages [13]. Pour ce faire, et comme décrit initialement par Schneier dans [15], les arcs
peuvent également inclure la pondération, la priorité ou d'autres quantificateurs.
Fil de Fil de Fil de
discussi discussi discussi
on1 on2 on3
Adversaire1 Adversaire1 Adversaire ?
A
Reconnaissance 1 2 8 11
Armement B J M
Livraison 3 10 12
C
Exploitation 4H N
LK
Installation DE
C2 56 13
FG
O
Action sur
les 7I 9 14
objectifs
Victime1 Victime2 Victime3
33
l'adversaire consolide les infrastructures, les processus et les capacités pour réduire les coûts.
Corrélation verticale Il est rare que tous les événements d'un même fil d'activité
vertical soient connus. En outre, il peut être nécessaire de faire des efforts pour établir
des relations de cause à effet entre les événements d'un même fil d'activité, ce qui
nécessite des recherches, des collectes de données et des analyses supplémentaires. Le
processus analytique consistant à identifier les lacunes dans les connaissances, à combler
ces lacunes avec de nouvelles connaissances et à établir des relations de cause à effet (et
les étiquettes d'arcs associées) au sein d'un seul fil d'activité vertical entre l'adversaire et
la victime est appelé corrélation verticale. En organisant le fil par phases, on peut aussi
plus facilement identifier les lacunes en matière de connaissances là où l'activité aurait dû
avoir lieu, mais pas
la connaissance de l'existence de ces derniers (voir le point 8.2 pour plus d'informations).
Il est courant qu'un adversaire utilise les ressources acquises lors d'une opération pour
permettre des opérations futures ou pour exploiter des relations de confiance internes
afin d'obtenir un accès plus profond à un réseau spécifique - ce que l'on appelle dans les
tests de pénétration l'exploitation pivotante et latérale. Par conséquent, les relations de
cause à effet (arcs) peuvent s'étendre sur un ou plusieurs fils horizontalement. En outre,
comme le montre la figure 6, les phases peuvent contenir plus d'un événement et les arcs
peuvent même aller "en arrière" pour décrire un processus itératif, tandis que les bords
décrivent les ressources obtenues et utilisées entre les événements.
Ces fils d'activité forment un nouveau type de graphique d'attaque par ordre de phase16
informé par des obser- vations d'événements réels afin de prédire la probabilité et la
préférence de l'adversaire pour des voies particulières. Comme les graphes d'attaque
traditionnels, les fils d'activité modélisent une activité complexe à plusieurs étapes qui
peut exploiter plusieurs vulnérabilités de système et de réseau. Toutefois, contrairement
aux graphiques d'attaque traditionnels qui tentent de dresser une liste exhaustive de tous
les chemins possibles, les fils d'activité modélisent les connaissances des chemins
d'attaque réels et l'interdépendance au sein des fils et entre§ eux. La nature des fils
d'activité, telle que définie dans cette section, permet à un événement/vertex de satisfaire
un ou plusieurs des besoins en ressources d'un autre événement ( 4.5.6) permettant à
l'événement ultérieur de se produire. En outre, chaque sommet est un événement qui
apporte avec lui la profondeur d'information qu'un événement fournit, ce qui rend les
informations du graphique riches et intrinsèquement plus utilisables.
Formellement, nous pouvons définir le fil d'activité comme un graphe dirigé, AT, où AT =
(V, A) est une paire ordonnée telle que :
- V est l'ensemble de tous les événements divisés en sous-ensembles de telle sorte que
• tous les événements d'un sous-ensemble partagent le même adversaire et la même
victime et sont ensuite divisés en p tuples étiquetés où p est le nombre de phases
définies et chaque événement est placé dans le tuple qui correspond à sa phase
- A est l'ensemble des paires d'arcs ordonnées de telle sorte que l'arc(x, y) est défini
• si et seulement si l'ad- versary a exécuté avec succès l'événement y en raison de
l'événement x et l'événement x a directement précédé l'événement y
- Il peut exister plus d'un arc à un événement donné. Par exemple, étant donné trois
• événements x, y et z, il peut exister un chemin de x à y arc(x, y) ainsi qu'un
chemin de z à y arc(z, y).
- Il peut exister plus d'un arc de cercle à partir d'un même événement. Par exemple,
• étant donné trois événements x, y et z, il peut exister un chemin de x à y arc(x, y)
ainsi qu'un chemin de x à z arc(x, z).
- Il ne peut exister qu'un seul chemin d'un nœud à l'autre (c'est-à-dire que chaque
• paire ordonnée par arc est unique dans le graphique). Par exemple, étant donné
deux événements x et y, il ne peut exister qu'un seul chemin de l'arc x à l'arc y (x,
y).
• Les arcs sont étiquetés avec un()4-tuple de confiance, et/ou, hypothétique/réel, fournit
où :
Toutefois, dans de nombreux cas, un adversaire manifestera une préférence pour certains
éléments et comportements dans le cadre de ses processus plus larges. Ce fait a été
identifié et exploré en criminologie et est probablement le résultat de l'attraction humaine
vers le confortable et le familier basée sur la culture, les connaissances, la formation,
l'expérience, etc. Dans les grandes organisations, ces préférences seront probablement
aussi dictées par les politiques et les décisions des dirigeants. Les analystes des intrusions
identifient généralement ces préférences grâce à des éléments communs à l'ensemble
d'une campagne, tout comme les enquêteurs criminels traditionnels les identifient grâce à
des preuves communes entre les scènes de crime.
Par exemple, la figure 7 illustre un processus d'adversité défini à partir des événements 2,
3, 4 et 6 de la figure 6. Ce processus adversaire est généralement décrit comme suit : un
événement de reconnaissance qui comprend une recherche sur le web pour
"administrateur réseau", suivi (mais pas nécessairement immédiatement) par la remise
d'un courrier électronique avec une pièce jointe contenant un cheval de Troie, suivi d'un
exploit spécifique et connu sur la machine locale (par exemple CVE-YYYY-XXX), et enfin
un courrier HTTP quittant la victime. Ce fil peut maintenant être utilisé pour établir une
correspondance avec d'autres fils d'activité qui présentent le même ordre général
d'événements et de caractéristiques.
Formellement, les processus adverses sont définis comme des sous-graphies d'un fil
d'activité qui contiennent un sous-ensemble de leurs caractéristiques. Il est important de
noter que le sous-graphique peut être "élastique" en ce sens qu'il peut être défini de telle
sorte que les événements n'ont pas besoin de maintenir leur ordre strict pour
correspondre efficacement à un autre fil (illustré dans la figure 7 sous forme d'arcs en
pointillés entre les événements). En d'autres termes, il importe seulement que les
caractéristiques correspondent dans l'ordre général, mais d'autres événements peuvent
exister entre eux. On peut aussi définir un processus adversaire "strictement" de telle
sorte que les événements doivent maintenir leur ordre sans qu'il y ait d'événements
intermédiaires, ou une combinaison des deux.
8.2 Soutien aux hypothèses analytiques
Armement
Envoi d'un courrier électronique avec une
Livraison pièce jointe protégée par un cheval de
Troie [dérivé de l'événement 3]
Exploitation locale spécifique (par exemple, CVE-
Exploitation YYYY-XXX)
[dérivé de l'événement 4]
Installation
HTTP Post de la victime
C2 [dérivé de l'événement 6].
Action sur
les
objectifs
Comme décrit précédemment, en plaçant les événements dans un modèle basé sur les
phases, les lacunes en matière de connaissances peuvent être plus facilement identifiées.
Puisque l'Axiom 4 stipule que les activités malveillantes sont multiphases, chaque phase
devrait contenir au moins un événement. 18 Une § autre méthode d'identification des
lacunes en matière de connaissances consiste à utiliser la méta-fonctionnalité des
ressources ( 4.5.6). L'analyste peut alors demander comment l'adversaire utilise les
ressources requises pour chaque événement, ce qui permet de générer les hypothèses
nécessaires pour répondre à la question.
Ces hypothèses peuvent ensuite être documentées dans le fil d'activité et nécessairement
différer des autres événements. C'est une caractéristique importante car l'un des défauts
de la plupart des analyses est le manque d'hypothèses documentées et, de plus, et plus
dangereusement, l'absence de différenciation entre l'hypothèse et le fait. Le modèle de fil
d'activité encourage la génération d'hypothèses et la documentation, ce qui augmente la
valeur et la précision de la connaissance.
Une fois que les hypothèses sont documentées et différenciées, elles doivent être affinées
et testées. Il existe plusieurs méthodes de test des hypothèses qui peuvent être utilisées
avec notre modèle pour déterminer si une hypothèse donnée, à la fois elle-même et parmi
d'autres, est raisonnable. Par exemple, on peut appliquer une pondération des preuves
aux hypothèses concurrentes [1], le rasoir d'Occam (par exemple, les nations les plus
simples sont, toutes choses égales par ailleurs, généralement meilleures que les plus
complexes)19, le conservatisme (si l'hypothèse "correspond" à d'autres aspects de
l'activité) et d'autres méthodes formelles de raisonnement inductif et déductif aux
hypothèses concurrentes [1].
Par exemple, l'événement 10 de la figure 6 pourrait énumérer les éléments suivants dans
la méta-fonctionnalité des ressources : l'accès au réseau pour envoyer du courrier
électronique, l'accès à un compte de courrier électronique, l'adresse électronique cible, le
cheval de Troie malveillant à inclure dans le courrier électronique et la connaissance de sa
cible pour créer un courrier électronique qui contournera les filtres et incitera la cible à
exécuter le malware. Ni l'événement 7 (accès par proxy) ni l'événement 8 (résultats de
recherche) ne fournissent les ressources nécessaires pour envoyer un courrier
électronique au responsable des ressources, en particulier son adresse électronique et son
rôle (par exemple, la connaissance de la cible). Par conséquent, l'événement 9 est supposé
être la source des informations de ciblage permettant d'envoyer le courrier électronique le
plus attrayant à la bonne cible.
L'événement 9 peut être testé de plusieurs façons. Premièrement, il est simple et logique
car toutes les ressources nécessaires sont réunies et il n'est pas nécessaire de formuler
d'autres hypothèses sur les événements. Deuxièmement, il "s'adapte" aux capacités et à
l'accès de l'adversaire. Troisièmement, des preuves peuvent être recueillies (par exemple,
des journaux d'événements de l'hôte) pour déterminer si l'événement s'est produit, ce qui
rend l'hypothèse mesurable et vérifiable pour répondre à la rigueur scientifique.
Cette forme de documentation permet enfin d'obtenir une répétabilité dans le processus
d'analyse des intrusions, car d'autres analystes peuvent tracer de manière indépendante
le graphique d'activité établissant
18Un
événement dans chaque phase n'est pas garanti car l'Axiom 4 permet des phases non essentielles.
19Dans
notre modèle, la simplicité peut être facilement mesurée en comparant le nombre de ressources
nécessaires à un événement et le nombre de celles-ci qui sont satisfaites compte tenu des événements
actuels par rapport au fait de devoir émettre des hypothèses sur un plus grand nombre d'événements à
soutenir.
Reconnaissance
Armement
Livraison
Exploitation
Installation
C2
Action sur
les
Graphique d'attaque
objectifs
Fil d'activité
Victime1
- Il génère des pondérations plus précises car les choix (et préférences) réels des
• attaquants sont connus.
• Il met en évidence les préférences des attaquants, ainsi que les voies alternatives.
- Il contribue naturellement à combler les lacunes dans les connaissances pour un fil
• d'attaque donné en superposant le corpus de fils d'attaque horizontalement
apparentés à des fins de comparaison. Il en résulte une plus grande rapidité de
génération et de test des hypothèses lors des enquêtes sur les incidents en cours.
La figure 8.3 est un exemple de graphique d'activité-attaque. La figure distingue les voies
adverses connues (graphe d'activité) des voies possibles encore connues à exploiter
(graphe d'attaque). Cela revient à consulter simultanément les résultats des tests de
pénétration (par exemple, Red Team) et de l'évaluation de la vulnérabilité (par exemple,
Blue Team) pour tracer le meilleur plan d'action. 20
En fin de compte, les fils d'activité et les graphiques d'attaque d'activité permettent un
meilleur développement de la stratégie d'atténuation car ils intègrent de manière
cohérente l'assurance de l'information et le renseignement sur la menace. Ils intègrent ce
qui s'est produit et ce qui pourrait se produire, ce qui permet à une stratégie de contrer la
menace actuelle et de planifier la réaction de l'adversaire pour contrer efficacement ses
futurs mouvements. Cette planification intégrée permet également une utilisation plus
efficace des ressources, car les mesures d'atténuation peuvent être conçues pour contrer
simultanément la menace actuelle et la menace future.
9 Groupes d'activités
Étape 3 : Création Les groupes d'activités sont créés à partir de l'ensemble des événements et
des fils de discussion
Étape 5 : Analyse Les groupes d'activités sont analysés pour répondre au(x) problème(s)
analytique(s) défini(s)
Où :
• etn est l'un ou l'autre : Un événement singulier ou un fil conducteur d'activité tel que
défini au §8
• Tous les événements ou processus dans Att partagent une ou plusieurs similarités
satisfaisant la fonction de création de groupes d'activités utilisée pour partitionner
les événements et les fils de discussion (définis au §9.3)
- Tendance : Comment l'activité d'un adversaire a-t-elle évolué dans le temps et quel
• est le vecteur actuel permettant de déduire les changements futurs ?
- Déduction d'attribution : Quels sont les événements et les fils de discussion susceptibles
• d'être menés par le même adversaire ?
- Identification des capacités croisées : Quelles capacités ont été utilisées par de
• nombreuses annonces ?
- Identification des lacunes en matière de connaissances de la campagne contre la
• corruption : Quelles sont les lacunes en matière de connaissances de l'organisation dans la
campagne d'un adversaire ?
Toutefois
, cela n'exclut pas la possibilité que deux ou plusieurs problèmes partagent un vecteur de
caractéristiques communes.
- Recommandation d'atténuation automatisée : Lorsqu'un événement est détecté, quel
• adversaire
23
est derrière l'événement et quelles mesures peuvent/doivent être prises ?
- Déduction pour le développement des capacités communes : Quelles sont les capacités qui
• témoignent d'auteurs ou de développeurs communs ?
- Centre d'identification par gravité : Quelles sont les ressources et les processus les
• plus courants et les plus critiques pour une activité et/ou une campagne ?
Les événements et les fils des diamants sont corrélés et regroupés de deux manières
complémentaires : (1) en utilisant diverses caractéristiques de base, méta- et sous-
caractéristiques de §l'événement (par exemple, infrastructure, capacité), et (2) des
processus adverses ( 8) précédemment définis comme des sous-graphiques de groupes
d'activités. Pour ce faire, les caractéristiques sont sélectionnées en remplissant un vecteur
de caractéristiques définissant les éléments utilisés pour regrouper les événements et les
fils de discussion.
Il est important de noter que les vecteurs de caractéristiques peuvent être extrêmement
spécifiques, ce qui permet à un analyste de définir une activité particulière d'intérêt en
incluant les éléments observables particuliers (par exemple, les adresses IP, les domaines,
les logiciels malveillants) de sorte que deux groupes soient formés : les événements et les
fils de discussion qui font partie de l'activité et ceux qui n'en font pas partie.
Où :
- fn est un élément nécessaire pour regrouper les événements et les fils de discussion afin
• d'aborder le problème analytique
PR
• wfnR∈≥et 0 < wfn1, le poids est un nombre réel qui décrit l'importance relative
de fn par rapport à tous les autres f , de sorte que w = 1 est une caractéristique de la
plus grande importance25
25Il ne
devrait pas y avoir d'élément ayant un poids donné de zéro dans le vecteur d'élément car cela
indiquerait que l'élément n'a pas d'importance. Dans ce cas, la caractéristique ne doit pas être incluse
dans le vecteur de caractéristique.
9.3 Étape 3 : Création
On s'attend à ce qu'une organisation définisse plus d'un problème analytique (via l'étape
1). Par conséquent, il est probable qu'il y ait plus d'une fonction de création de groupe
d'activités par instance de modèle de diamant. Par exemple, le regroupement
d'événements par le même acteur-adversaire apparent (c'est-à-dire le regroupement pour
l'attribution) et le regroupement d'événements par la vulnérabilité de la victime (par
exemple le regroupement pour la voie d'exploitation la plus probable) sont des problèmes
analytiques différents nécessitant des fonctions distinctes. En outre, certains problèmes
peuvent exiger que la fonction de regroupement place chaque événement et fil dans un
groupe alors que d'autres peuvent autoriser des aberrations (c'est-à-dire des événements
et des fils qui n'appartiennent à aucun groupe).
Où :
• La RP est un problème analytique défini qui doit être satisfait par la fonction
• FVP R est le vecteur de caractéristique qui satisfait le problème analytique PR
- AttS est l'ensemble des groupes d'activités tel que chaque groupe d'activités, Attn,
• répond à la définition d'un groupe d'activités
• Il est possible que la fonction de création n'établisse aucun groupe parce qu'il
n'existe aucune similitude, et donc n ≥ 0
Pour notre exemple, nous dirons que la logique exprimée dans la fonction stipule que tout
fil qui contient le processus A→→
B C serait un groupe d'activité. Deux ou plusieurs threads
correspondant à un processus seraient corrélés au sein du même groupe d'activité si au
moins un événement de chaque thread (pas nécessairement dans le processus spécifié)
partageait une IP d'infrastructure et un hachage de capacité MD5 avec un niveau de
confiance au moins moyen. Maintenant que les données sont§§ organisées pour répondre à
la question analytique, les groupes peuvent être agrandis ( 9.4) et analysés ( 9.5) pour
fournir des informations susceptibles de répondre à la question.
La figure 10 illustre la croissance des groupes d'activités : à mesure que les événements et
les fils sont découverts, détectés ou reçus, ils sont classés dans les différents groupes
d'activités en fonction de la caractéristique définie
26Les
opérations dans une fonction de création de groupes d'activités sont aussi larges que nécessaire et ne
sont pas tenues d'utiliser tous les éléments du vecteur de caractéristiques.
ème analytique, PR : Trouver des groupes d'événements et des fils de discussion qui partagent une infrastructure IP, des capacités et un processus donné (A>B>C
A
A Processus1
IP : A.B.C.DB
MD5 : CFABCA ...
B
C
C CC
Non groupé Groupe d'activités 3
Événements et fils
Ensemble d'événements et de de discussion Groupes d'activités, AGS
fils de discussion, ET (aberrations)
Figure 9 : La création de groupes d'activités est illustrée de telle sorte qu'un groupe
d'événements et de threads est regroupé sur la base d'un vecteur de caractéristiques
→→
défini par : un processus adverse (A B C), un hachage de capacité MD5 correspondant et
une adresse IP d'infrastructure. Sur la base de ce vecteur de caractéristiques et d'une
fonction de création de groupe d'activités (AttC), les 17 événements et fils sont regroupés
en trois groupes, avec deux événements et un fil ne répondant pas aux critères de
regroupement et classés comme aberrants.
A
Processus1
Événements et fils de IP : A.B.C.DB
MD5 : CFABCA ...
discussion à venir
A
IP : E.F.D.D C
BMD5 : FABEFC... Groupe d'activité 1
Processus1
C BB IP : E.F.D.D
MD5 : FABEFC...
CC
Groupe d'activités 2
AA
Processus1
IP : F.A.C.
BB B
MD5 : EAAFFC...
CC
Groupe d'activités 3
Événements et
fils de discussion Groupes d'activités, AGS
non groupés
(valeurs
aberrantes)
Une fois qu'un groupe d'activités est défini et que les événements et les fils sont regroupés
au sein des groupes, il peut être analysé pour répondre au problème analytique spécifique
qui est traité. Cela nécessite généralement l'application d'outils et d'artisanat au-delà du
modèle du diamant. Par exemple, avec notre exemple de la figure 9, l'analyste va
probablement examiner chacun de ces groupes pour discerner les différences et les
similitudes, exposant ainsi de nouveaux problèmes analytiques à résoudre. Cela pourrait
même conduire à un réexamen de la fonction de sélection et de regroupement des
caractéristiques nécessitant une redéfinition (prochaine étape).
Nevertheless, the analyst now has the tools to analyze intrusion events and threads across
a larger scale including: potentially exposing longer-range adversary campaigns,
identifying similarities between seemingly dissimilar events, gathering a complete listing
of observed ad- versary capabilities and infrastructure, deducing adversary attribution
based on the victim-
set (i.e., cyber-victimology §5.1.2), and many other problems.
Activity groups, like all clustering and classification-based functions, suffer from various
well-studied challenges. One such challenge is the assumption that the analyst can accu-
rately describe the feature vector and function used to cluster – or that their idea of a
cluster is correct to begin with. Another is overfitting and error propagation: where an
analyst or a system wrongly associates an event to a group propagating and potentially
magnifying that mistake over time. Therefore, it is normal that activity groups require
examination, anomaly detection, and redefinition (re-clustering) over time to discover
and correct errors. Furthermore, during this redefinition stage changes can (and should)
be considered to the feature vector and associated weights and algorithms to ensure the
underlying error is cor- rected. Manually, this is usually done through the discovery of
evidence which indicates an incorrect classification has occurred requiring re-clustering.
Activity groups are as varied as the enterprises behind the malicious activity. As such, the
identification and detection of millions of events could easily filter into a large number of
27
However, as previously described in Step 3, Activity Group Creation§ ( 9.3), the clustering function
is defined by the needs of the analyst and the particular analytic problem being solved and therefore
alternative clustering types are possible which may not use outliers but instead place every thread and
event into a group.
activity groups, some of which interact at a higher-level. Therefore, it is sometimes neces-
sary to develop a hierarchy of groups which model the increasingly complex organizations
behind the events in order to address higher-order questions and develop even more
strategic mitigation.28
Very much like an activity group, an activity group family is a set of activity groups which
share common features, except that the common features of groups within a family are
likely non-technical. For example, in the case of organized crime, a common funding and
tasking element may be responsible for multiple operations and therefore multiple
activity groups
– each of which are tracked and analyzed separately – are grouped within a family. This
makes the identification, organization, and mitigation strategy development of higher-
order elements, such as the crime-boss in this example, tractable and more effective.
For the purposes of analytic methodology, activity group families are treated to the same
6-step process as an activity group. They must be defined, created, grown, analyzed, and
redefined. They also have feature vectors and creation functions except that the creation
function used for clustering and classification operates across the features of an entire
group rather than individual events or threads. These terms and the associated functions,
features, and processes do not need to be re-defined as they have been discussed in full
previously
– except to say that they are slightly modified to support features and processes across
activity groups.
Où :
- AttF is the outcome of a creation function and feature vector comparing activity
• groups
28
Evidence of such organization behind malicious activity is apparent in the “Phonemasters” case [45]
and Brenner argues persuasively in [56] that existing hierarchical organized crime models will necessarily
follow into cyberspace as they are the most efficient method of varied criminal enterprises – and
cyberspace will be a natural extension of criminal activities, especially the largest ones. However, our model
is not limited to cybercrime but extensible to any organized enterprise conducting a multitude of malicious
cyber activities which are necessary to group.
10 Planning and Gaming
From a mitigation perspective, many actions are possible. However, deciding the best
action to take to offset the adversary is challenging. Actions cost defenders money and/or
time to implement and are taken with the expectation that the action will adversely
impact adversarial efforts.
Additionally, defender actions should be chosen that cost defenders little but cost adver-
saries much more. Clearly, the reverse (i.e., costing the defender more and the adversary
less) is undesirable from a tactical or strategic mitigation perspective. Actions that cost
the defender more (especially significantly more) should be avoided if at all possible. The
cost to the adversary can be expressed as the cost (in money, resources, time) to recoup
the necessary capability and infrastructure to have a functional platform. Adversary cost
has multiple components including development time, infrastructure building cost/time,
retrain- ing time and costs, opportunity cost, and costs incurred from loss of readiness.
Defender costs also have multiple components such as money, time, as well as legal and
ethical risks which need to be addressed [13].
- Identifies adversary centers of gravity through activity thread and activity group
• anal- ysis (JIOPE Step 3, Element 4)
- Identifies adversary objectives and end state through activity thread analysis, victi-
• mology, and activity groups (JIOPE Step 4, Element 1)
Kill Chain Analysis The Diamond Model and Kill Chain analysis are highly comple-
mentary. Kill Chain analysis allows an analyst “to target and engage an adversary to create
desired effects.” [11] The Diamond allows analysts to develop tradecraft and
understanding in order to build and organize the knowledge necessary to execute the Kill
Chain analysis. Two methods of integrating the two approaches are described:
- Once an analyst develops an activity thread, courses of action for each event along
• the thread can be identified using the Kill Chain’s course of action matrix. As
illustrated in Figure 11, courses of action for each of the Kill Chain stages are
identified for activity threads 1 & 2 from Figure 6. The power of the Diamond Model
is that courses of action can be designed to span multiple victims and across the
activity of an adversary making the actions even more powerful as they further
reduce the capacity of the adversary.
Armement
Filter but
NIDS,
Email AV Email respond with
Livraison User
Scanning Queuing out-of-office
Education
message
Installation
HTTP HTTP
C2 NIDS NIPS
Whitelist Throttling
Figure 11: Kill Chain Course of Action Matrix derived from threads 1 & 2 in Figure 6.
Mitigation actions for each category (e.g., disrupt, degrade, deny) were identified to
counter the effectiveness of the adversary’s events along the phases. This matrix format
and process is described in [11] as a method of identifying mitigation courses of action to
counter adver- sary campaigns – illustrating the power of combining the Diamond Model
and Kill Chain analysis.
operate beyond their current capability base.
Gaming Part of any effective mitigation strategy development is to game the adversary
in order to predict their next move. In this way a defender can both counter the current
activity and pre-position for future activity thereby countering the adversary. Planning for
both at the same time enables economical decisions satisfying both requirements. Our
model supports gaming in several ways to more accurately predict adversary responses to
environmental pressures (e.g., defender actions, patched vulnerability):
• Through activity threads and groups, attribution deduction is possible via cyber-
victimology (§5.1.2) and other means.
11 Future Work
We recognize that the Diamond Model at present is cognitive and highly manual. We are
willing to accept this because it is, as its name implies, a model to be studied and refined
defined with respect only to accurately capturing the intrusion analysis process. However,
we are ultimately pragmatists and recognize that the model will be many times more
useful once automation and efficiencies are developed. As such, we hope we have
provided sufficient insight and citations of related efforts to motivate future work along
these lines.
One such invaluable automation would be the integration of the Diamond Model into
ana- lytic tools which are both automatically fed with intelligence from network sensors
as well as external reports from other organizations, especially those within a shared
threat
§ space ( 5.1.3). However, we expect that intrusion analysts will still be required to
input new intelligence and oversee automated feeds. This will require work into usability
to augment, rather than impede, the analytic work-flow. Furthermore, this could also
bring about auto- mated and formal hypothesis generation and testing providing instant
evaluation of analytic conclusions.
In order to achieve this, there must be a protocol to share contextual indicators and threat
intelligence to rapidly integrate information from all of these sources. We see the
Diamond Model as a foundation for achieving this and improving new or existing
protocols and formal languages (as [30, 27, 22, 24, 32]) to make them more contextual
and relational. This will also likely require further refinement of taxonomies. The
Diamond Model itself
provides the opportunity to define the features and sub-features into a never-ending
strata of information. However, different implementations of the model could conflict in
their definitions. Therefore, further refinement of the sub-models for each feature and
sub-feature using taxonomy fundamentals is critical [25].
There are also several miscellaneous elements which have been described as necessitating
future effort, such as:
Lastly, the purpose of the model is to achieve more effective and accurate analysis
ultimately to enable planning, strategy, and decision-making to defend networks.
Therefore, while we have shown how the model can be used with several planning
frameworks, each one could be a work in itself and there are many other models to
consider.
For instance, a potential path to generate more effective and creative mitigation strategies
would be to extend the work of [14] and treat the activity thread as a group of
chromosomes in a co-evolutionary predator-prey environment using genetic algorithms.
This approach has previously shown promise and the activity threads model a well-
behaved genetic algorithm chromosome lending credence to this concept.
12 Conclusion
This paper presented the Diamond Model of intrusion analysis. It began with the atomic
element of all intrusion activity, the event, and its core features (adversary, victim, infras-
tructure, and capability) organized in the shape of a diamond. This event was further
refined with sub-features and meta-features allowing it to contain and relate all aspects of
a malicious event. From the event we derived several feature-centric approaches to assist
in the categorization of existing analytic tradecraft and the development of new
tradecraft. The model further extracted new understandings about malicious activity such
as the im- portance of the Social-Political relationship between adversary and victim and
the degrees
of persistence.
Furthermore, the Diamond Model captured the essence of intrusion activity as a set of
causal events related in an activity thread documenting the end-to-end process of the ad-
versary. Importantly, these threads are further augmented with attack graphs to create a
new intelligence-driven approach to traditional information assurance called activity-
attack graphs taking into account actual adversary attacks as well as potential and
preferred paths. The threads and events are then coalesced into activity groups which
address broader an- alytic problems and enable more strategic mitigation campaigns to
be developed. Lastly, activity groups can be hierarchical and organized into families
which better model sophisti- cated adversary organizations.
The Model has also been shown to be highly complementary with multiple mitigation
plan- ning and decision models including the Joint Intelligence Preparation of the
Battlespace, the Kill Chain, traditional information assurance vulnerability coverage, and
adversary gaming approaches.
Intrusion analysis has long been regarded as an art to be learned and practiced, rather
than a science to be studied and refined. Evidence of this is everywhere: from the focus
on analytic outcomes more than process and principles, to the transmission of knowledge
via stories and case-studies. However, approaching it only as an art has long delayed
improvements and understanding further slowing the evolution of threat mitigation
which relies on efficient, effective, and accurate analysis. Without knowing it, analysts
have used the Diamond Model for decades but have lacked the complete framework to
understand, improve, and focus their efforts.
It is time to recognize that the discipline is both an art and a science. The Diamond Model
addresses this challenge head-on integrating the art and science of intrusion analysis. The
Diamond Model accurately captures and organizes the foundational and fundamental
concepts which underpin all that intrusion analysts do as well as how intrusion analysis is
synthesized and used for mitigation and network defense. It has achieved its aims of
being both an informal cognitive analytic support and a formal framework applying
mathematical and computational concepts to intrusion analysis. However, its largest
contribution is that it finally applies the scientific rigor and the principles of
measurement, testability, and repeatability to the domain enabling intrusion analysis to
become more effective, efficient, and accurate leading to quicker, more effective, and
more efficient mitigation to defeat our adversaries.
References
[3] Leo Obrsta, Penny Chaseb, and Richard Markeloffa. Developing an ontology of
the cy- ber security domain. In Paulo C. G. Costa and Kathryn B. Laskey, editors,
Proceedings of Semantic Technologies for Intelligence, Defense, and Security (STIDS) 2012,
pages 49–56, October 2012. [ONLINE] http://ceur-ws.org/Vol-966/.
[4] Clifford Stoll. Stalking the wily hacker. Communications of the ACM, 31(5):484–
497, May 1988.
[5] Steve Bellovin. There be dragons. In 3rd Usenix UNIX Security Symposium,
Baltimore, MD, USA, September 1992.
[6] Bill Cheswick. An evening with Berferd. In Firewalls & Internet Security,
chapter 10. Addison-Wesley, Reading, MA, USA, 1994.
[7] Lance Spitzer. The honeynet project: Trapping the hackers. Security & Privacy,
page 15, April 2003.
[8] Stephen Northcutt, Mark Cooper, Matt Fearnow, and Karen Frederick.
Intrusion Signatures and Analysis. New Riders Publishing, Indianapolis, IN, USA,
2001.
[10] Bernhard Amann, Robin Sommer, Aashish Sharma, and Seth Hall. A lone wolf
no more: Supporting network intrusion detection with real-time intelligence. In 15th
Inter- national Conference on Research in Attacks, Intrusions, and Defenses, pages 314–
333, Berlin, Heidelberg, 2012. Springer-Verlag.
[12] US Department of Defense. Joint Tactics, Techniques, and Procedures for Joint
Intel- ligence Preparation of the Operational Environment (JP 2-01.3), June 2009.
[13] Sergio Caltagirone and Deborah Frincke. ADAM: Active defense algorithm and
model. In N.R. Wyler and G. Byrne, editors, Aggressive Network Self-Defense, pages
287–311. Syngress Publishing, Rockville, MD, USA, 2005.
[14] Sergio Caltagirone. Evolving active defense strategies. Technical Report CSDS-
DF- TR-05-07, University of Idaho, Moscow, ID, USA, 2005.
[15] Bruce Schneier. Attack trees. Dr. Dobbs Journal, 24(12):21–29, 1999.
[16] Richard Paul Lippmann and Kyle William Ingols. An annotated review of past
papers on attack graphs. Technical Report PR-IA-1, Massachusetts Institute of
Technology, Lexington Lincoln Laboratory, 2005.
[17] Xinming Ou, Wayne Boyer, and Miles McQueen. A scalable approach to attack
graph generation. In Proceedings of the 13th ACM Conference on Computer and
Communi- cations Security, pages 336–345. ACM, 2006.
[18] Kyle Ingols, Richard Lippmann, and Keith Piwowarski. Practical attack graph
genera- tion for network defense. In 22nd Annual Computer Security Applications
Conference, ACSAC’06, pages 121–130. IEEE, 2006.
[19] Lingyu Wang, Tania Islam, Tao Long, Anoop Singhal, and Sushil Jajodia. An
attack graph-based probabilistic security measure. In Data and Applications Security
XXII, pages 283–296. Springer, Berlin Heidelberg, 2008.
[20] John Homer, Ashok Varikuti, Xinming Ou, and Miles McQueen. Improving
attack graph visualization through data reduction and attack grouping. In
Visualization for Computer Security, pages 68–79. Springer, Berlin Heidelberg, 2008.
[21] Sebastian Roschke, Feng Gheng, and Christopher Meinel. Using vulnerability
informa- tion and attack graphs for intrusion detection. In Proceedings of the 6th
International Conference on Information Assurance and Security (IAS 2010), pages 104 –
109, At- lanta, GA, USA, 2010. IEEE Press.
[22] Vocabulary for event recording and incident sharing (VERIS). [ONLINE]
http://www. veriscommunity.net.
[25] John D. Howard and Pascal Meunier. Using a common language for computer
security incident information. In Seymour Bosworth and M.E. Kabay, editors,
Computer Se- curity Handbook, chapter 3, pages 3.1–3.22. John Wiley & Sons, New
York, NY, USA, 4th edition, 2002.
[31] Michel Cedric and Ludovic Me. ADELE: An attack description language for
knowledge- based intrusion detection. In Trusted Information, number 65, pages 353–
368. Springer US, 2002.
[34] Wim Van Eck. Electromagnetic radiation from video display units: An
evesdropping risk? Computers & Security, 4(4):269–286, 1985.
[36] Stuart McClure, Joel Scambray, and George Kurtz. Hacking Exposed. McGraw-
Hill Osborne Media, 4th edition, 2003.
[37] classtype. In Snort Users Manual 2.9.3, page 179. The Snort Project, May 2012.
[38] Austin Troya, J. Morgan Groveb, and Jarlath O’Neil-Dunne. The relationship
between tree canopy and crime rates across an urban-rural gradient in the greater
Baltimore region. Landscape and Urban Planning, 106(3):262–270, June 2012.
[39] Will Gragido. Lions at the watering hole – the “VOHO” affair. [ONLINE] http:
//blogs.rsa.com/lions-at-the-watering-hole-the-voho-affair, July 2012.
[44] Command Five Pty Ltd. SK Hack by an advanced persistent threat. [ONLINE]
http:
//www.commandfive.com/papers/C5 APT SKHack.pdf, September 2011.
[45] D. Ian Hopper and Richard Stenger. Large-scale phone invasion goes
unnoticed by all but FBI. CNN, December 1999. [ONLINE]
http://edition.cnn.com/1999/TECH/
computing/12/14/phone.hacking/.
[46] Nate Anderson. How one man tracked down Anonymous – and paid a heavy
price. Ars Technica, February 2011. [ONLINE] http://www.arstechnica.com/tech-
policy/ 2011/02/how-one-security-firm-tracked-anonymousand-paid-a-heavy-
price/.
[48] Brian Krebs. Cyber attacks target pro-Tibet groups. Washington Post, March
2008. [ONLINE] http://www.washingtonpost.com/wp-dyn/content/article/
2008/03/21/AR2008032102605.html.
[49] Bojan Zdrnja, Nevil Brownlee, and Duane Wessels. Passive monitoring of DNS
anoma- lies. In Proceedings of the 4th International Conference on Detection of Intrusions
and Malware and Vulnerability Assessments, DIMVA ’07, pages 129–139, Berlin, Heidel-
berg, 2007. Springer-Verlag.
[50] Manos Antonakakis, Roberto Perdisci, Wenke Lee, Nikolas Vasiloglou, II, and
David Dagon. Detecting malware domains at the upper DNS hierarchy. In Proceedings
of the 20th USENIX Conference on Security, SEC’11, pages 27–27, Berkeley, CA, USA,
2011. USENIX Association.
[51] Wolfgang John and Tomas Olovsson. Detection of malicious traffic on back-
bone links via packet header analysis. Campus-Wide Information Systems, (25):342–
358, 2008.
[55] Huan Liu and Hiroshi Motoda. Feature Selection for Knowledge Discovery and
Data Mining. Kluwer Academic Publishers, Norwell, MA, USA, 1998.
[56] Susan W. Brenner. Organized cybercrime? how cyberspace may affect the
structure of criminal relationships. North Carolina Journal of Law & Technology, 4(1),
Fall 2002.