# Qu’est-ce que le modèle diamant ?
> **Le modèle Diamond d'analyse des intrusions** a été développé par des professionnels de la cybersécurité
>
> - Sergio Caltagirone, Andrew Pendergast et Christopher Betz en 2013.
[Comme l'ont décrit ses créateurs](https://www.activeresponse.org/wp-content/uploads/2013/07/diamond.pdf) , le modèle Diamond est composé de quatre caractéristiques principales : adversaire, infrastructure, capacité et victime, et établit l'élément atomique fondamental de toute activité d'intrusion. Vous avez peut-être également remarqué deux composantes ou axes supplémentaires du modèle Diamond : social, politique et technologique ; nous y reviendrons un peu plus en détail plus tard dans cette salle. Pourquoi est-il appelé « modèle diamant » ? Les quatre éléments principaux sont reliés par les bords, représentant leurs relations sous-jacentes et disposés en forme de diamant.
Le modèle Diamond reprend les concepts essentiels de l'analyse des intrusions et des opérations adverses tout en permettant la flexibilité d'étendre et d'englober de nouvelles idées et concepts. Le modèle offre diverses opportunités d'intégrer des renseignements en temps réel pour la défense du réseau, en automatisant la corrélation entre les événements, en classant les événements en toute confiance dans les campagnes adverses et en prévoyant les opérations de l'adversaire tout en planifiant et en jouant des stratégies d'atténuation.
**Pourquoi devriez-vous vous renseigner sur le modèle diamant ?**
Le modèle Diamond peut vous aider à identifier les éléments d’une intrusion. À la fin de cette salle, vous créerez un modèle Diamond pour des événements tels qu'une violation, une intrusion, une attaque ou un incident. Vous pourrez également analyser une menace persistante avancée (APT).
Le modèle Diamond peut également aider à expliquer à d'autres personnes non techniques ce qui s'est passé lors d'un événement ou toute information précieuse sur l'acteur malveillant.
# Adversaire
**Qui est un adversaire ?**
Un **adversaire** est également appelé attaquant, ennemi, acteur de cybermenace ou pirate informatique. L’adversaire est la personne qui est à l’origine de la cyberattaque. Les cyberattaques peuvent être une instruction ou une brèche.
Selon les créateurs du modèle Diamond, un adversaire est un acteur ou une organisation chargé d'utiliser une capacité contre la victime pour réaliser son intention. La connaissance de l’adversaire peut généralement être mystérieuse, et cette caractéristique essentielle est susceptible d’être vide pour la plupart des événements – du moins au moment de sa découverte.
Il est essentiel de connaître la distinction entre opérateur adversaire et client adversaire, car cela vous aidera à comprendre l'intention, l'attribution, l'adaptabilité et la persistance en aidant à encadrer la relation entre un couple adversaire et victime.
Il est difficile d’identifier un adversaire dès les premières étapes d’une cyberattaque. L'utilisation des données collectées lors d'un incident ou d'une violation, des signatures et d'autres informations pertinentes peut vous aider à déterminer qui pourrait être l'adversaire.
**L’opérateur adverse** est le « pirate informatique » ou la ou les personnes menant l’ activité d’intrusion.
**Le client adverse** est l’entité qui peut bénéficier de l’activité menée lors de l’ intrusion. Il peut s'agir de la même personne qui se tient derrière l'opérateur adverse, ou d'une personne ou d'un groupe distinct.
A titre d'exemple, un client adversaire pourrait contrôler simultanément différents opérateurs . Chaque opérateur peut avoir ses capacités et son infrastructure.
# Victime
Est une cible de l’adversaire. Une victime peut être une organisation, une personne, une adresse e-mail cible, une adresse IP, un domaine, etc. Il est essentiel de comprendre la différence entre le personnage de la victime et ses actifs, car ils remplissent des fonctions analytiques différentes.
Une victime peut être une opportunité pour les attaquants de prendre pied dans l’organisation qu’ils tentent d’attaquer. Il y a toujours une victime dans chaque cyberattaque. Par exemple, l’ e-mail de spear phishing (un e-mail bien conçu ciblant une personne d’intérêt spécifique) a été envoyé à l’entreprise et quelqu’un (victime) a cliqué sur le lien. Dans ce cas, la victime est la cible d’intérêt choisie par l’adversaire.
Les personnes victimes sont les personnes et les organisations ciblées et dont les actifs sont attaqués et exploités. Il peut s'agir de noms d'organisations, de noms de personnes, de secteurs d'activité, de fonctions, d'intérêts, etc.
Les actifs des victimes constituent la surface d'attaque et incluent l'ensemble des systèmes, réseaux, adresses e-mail, hôtes, adresses IP, comptes de réseaux sociaux, etc., vers lesquels l'adversaire dirigera ses capacités.
# Capability
Est également connue sous le nom de compétence, d’outils et de techniques utilisés par l’adversaire lors d’un événement. La capacité met en évidence les tactiques, techniques et procédures (TTP) de l'adversaire.
Cette capacité peut inclure toutes les techniques utilisées pour attaquer les victimes, depuis les méthodes les moins sophistiquées, telles que la recherche manuelle du mot de passe, jusqu'aux techniques les plus sophistiquées, comme le développement de logiciels malveillants ou d'un outil malveillant.
Capacité La capacité est l'ensemble des vulnérabilités et des expositions que la capacité individuelle peut utiliser .
Un arsenal adverse est un ensemble de capacités qui appartiennent à un adversaire. Les capacités combinées des capacités d'un adversaire en font son arsenal.
Un adversaire doit avoir les capacités requises. Les capacités peuvent être des compétences en matière de développement de logiciels malveillants et de courriers électroniques de phishing ou, au moins, l'accès à des fonctionnalités, telles que l'acquisition de logiciels malveillants ou de ransomwares en tant que service.
# Infrastructure
Est également connue sous le nom de logiciel ou de matériel. L'infrastructure désigne les interconnexions physiques ou logiques que l'adversaire utilise pour fournir une capacité ou maintenir le contrôle de ces capacités. Par exemple, un centre de commandement et de contrôle ( C2 ) et les résultats de la victime (exfiltration de données).
L'infrastructure peut également être des adresses IP, des noms de domaine, des adresses e-mail, ou encore un périphérique USB malveillant trouvé dans la rue et branché sur un poste de travail.
L'infrastructure de type 1 est l'infrastructure contrôlée ou détenue par l'adversaire.
L' infrastructure de type 2 est l'infrastructure contrôlée par un intermédiaire. Parfois, l’intermédiaire peut en être conscient ou non. C’est l’infrastructure qu’une victime considérera comme l’adversaire. L'infrastructure de type 2 a pour but de masquer la source et l'attribution de l'activité. L'infrastructure de type 2 comprend des serveurs de transfert de logiciels malveillants, des noms de domaine malveillants, des comptes de messagerie compromis, etc.
Les fournisseurs de services sont des organisations qui fournissent des services considérés comme critiques pour la disponibilité des infrastructures de type 1 et de type 2 par les adversaires, par exemple les fournisseurs de services Internet, les bureaux d'enregistrement de domaines et les fournisseurs de messagerie Web.
# Event Meta Features
Six méta-fonctionnalités possibles peuvent être ajoutées au modèle Diamond. Les méta-fonctionnalités ne sont pas obligatoires, mais elles peuvent ajouter des informations ou des renseignements précieux au modèle Diamond.
- **Horodatage** : correspond à la date et à l'heure de l'événement . Chaque événement peut être enregistré avec une date et une heure auxquelles il s'est produit, par exemple 2021-09-12 02:10:12.136. L'horodatage peut inclure le moment où l'événement a commencé et s'est arrêté. Les horodatages sont essentiels pour aider à déterminer les modèles et à regrouper les activités malveillantes. Par exemple, si l’intrusion ou la violation s’est produite à 3 heures du matin aux États-Unis, il est possible que l’attaque ait été menée depuis un pays spécifique avec un fuseau horaire et des heures de bureau standard différents.
- **Phase** : ce sont les phases d'une intrusion, d'une attaque ou d'une violation. Selon les créateurs du Diamond Model et de l'Axiom 4, « Chaque activité malveillante contient deux ou plusieurs phases qui doivent être exécutées successivement avec succès pour obtenir le résultat souhaité. » Les activités malveillantes ne se produisent pas sous la forme d’événements isolés, mais plutôt sous la forme d’une séquence d’événements. Un bon exemple peut être la Cyber Kill Chain développée par Lockheed Martin. Vous pouvez en savoir plus sur la Cyber Kill Chain en visitant la [salle Cyber Kill Chain](https://tryhackme.com/room/cyberkillchainzmt) sur TryHackMe.
> Les phases peuvent être :
> 1\. Reconnaissance
> 2\. Armement
> 3\. Livraison
> 4\. Exploitation
> 5\. Installation
> 6\. Commandement et contrôle
> 7\. Actions sur l'objectif
> pour par exemple, un attaquant doit effectuer des recherches pour découvrir la cible ou une victime. Ils tenteraient ensuite d'exploiter la cible, d'établir un centre de commandement et de contrôle et, enfin, d'exfiltrer les informations sensibles.
- **Résultat** - Même si les résultats et les post-conditions des opérations d'un adversaire ne sont pas toujours connus ou n'ont pas toujours une valeur de confiance élevée lorsqu'ils sont connus, ils sont utiles à capturer. Il est crucial de capturer les résultats et les post-conditions des opérations d'un adversaire, mais parfois ils ne sont pas toujours connus. Les résultats de l'événement peuvent être étiquetés comme « succès », « échec » ou « inconnu ». Les résultats de l'événement peuvent également être liés à la triade CIA (confidentialité, intégrité et disponibilité), telle que Confidentialité compromise, Intégrité compromise et Disponibilité compromise. Une autre approche peut également consister à documenter toutes les conditions postérieures résultant de l'événement, par exemple les informations recueillies lors de la phase de reconnaissance ou l'exfiltration réussie de mots de passe ou de données sensibles.
- **Direction** : cette méta-fonctionnalité permet de décrire les événements basés sur l'hôte et le réseau et représente la direction de l'attaque d'intrusion. Le modèle Diamond d'analyse d'intrusion définit sept valeurs potentielles pour cette méta-fonctionnalité : victime à infrastructure, infrastructure à victime, infrastructure à infrastructure, adversaire à infrastructure, infrastructure à adversaire, bidirectionnel ou inconnu.
- **Méthodologie** - Cette méta-fonctionnalité permettra à un analyste de décrire la classification générale des intrusions, par exemple phishing, DDoS , violation, analyse de port, etc.
- **Ressources** - Selon le modèle Diamond, chaque événement d'intrusion a besoin d'une ou plusieurs ressources externes pour être satisfaites et réussir. Des exemples de ressources peuvent inclure les éléments suivants : **logiciels** (par exemple, systèmes d'exploitation, logiciels de virtualisation ou framework Metasploit ), **connaissances** (par exemple, comment utiliser Metasploit pour exécuter l'attaque et exécuter l'exploit), **informations** (par exemple, un nom d'utilisateur/mot de passe). pour se déguiser), **le matériel** (par exemple, les serveurs, les postes de travail, les routeurs), **les fonds** (par exemple, l'argent pour acheter des domaines), **les installations** (par exemple, l'électricité ou un abri), **l'accès** (par exemple, un chemin réseau depuis l'hôte source jusqu'à la victime et vice-versa). versa, accès au réseau depuis un fournisseur d'accès Internet (FAI)).
# Composante socio-politique
La composante **sociopolitique** décrit les besoins et les intentions de l'adversaire, par exemple le gain financier, l'acceptation par la communauté des hackers, l'hacktivisme ou l'espionnage.
Le scénario peut être que la victime fournit un « produit », par exemple des ressources informatiques et de la bande passante, en tant que zombie dans un botnet à des fins de minage de crypto-monnaie (produisant de nouvelles crypto-monnaies en résolvant des équations cryptographiques grâce à l'utilisation d'ordinateurs), tandis que l'adversaire consomme son produit ou obtient un gain financier.
# Composante technologique
**Technologie** – la méta-fonctionnalité ou le composant technologique met en évidence la relation entre les fonctionnalités principales : capacité et infrastructure. La capacité et l'infrastructure décrivent la façon dont l'adversaire opère et communique. Un scénario peut être une attaque de point d'eau, une méthodologie dans laquelle l'adversaire compromet les sites Web légitimes qu'il pense que ses victimes ciblées visiteront.