👩🏼‍🔧 🍿 🙌🏻 信息安全中的模型 🎑 👩🏻‍🚀 🙌

下午好，哈布罗夫斯克！

1.而不是加入

最近发布的《心理信息安全模型》的翻译不仅使我对一般信息感兴趣（特别是在培训中使用模型对我来说是一个迫切的问题，因为学习是一个连续的过程），而且还对模型链接列表感兴趣。他为什么如此重要？我们将在本文中了解。

文本中列出的某些模型必须在工作过程的框架中遇到（监视和响应可以与MITER ATT＆CK和Kill Chain连接）。我对其他人有一个大致的了解，但是如何应用它们，或者哪些关键功能可以提高此过程的效率，这些仍然在幕后。老实说，我是第一次听到某些型号的名字。

有了联系和空闲时间，我开始研究这个话题。我认为，该材料可能对观光游览或对该主题的简要概述很有用。展望未来，我会说一些模型的描述令我失望。但是首先是第一件事。

首先，关于您自己的几句话。我叫Alexander Nosarev，我在IB集成商中工作。我的重点是监视和响应系统。根据服务职责，活动的主要领域是在信息安全范围内组织和自动化日志收集和分析过程，以及对分析发现的违规和事件的响应过程。

当然，仅直接担任职务是好的。但是您不会走得太远-尽管程度较小，但是我必须处理企业中构建IS的整个生命周期的结果，这对最终结果的影响比我自己的工作还要大。

但是回到我们的模型。我为自己设定了开发统一方法的任务，该方法将使我们能够确定研究对象的关键特征并回答以下问题：什么时候可以，应该使用一种或另一种模型，基于什么假设，可以实现什么结果等。

为此，决定从原始出版物以及我们自己的研究和经验两个理论部分开始。愿她在本文中与我们同在。

2.一般理论

一般理论

什么是模特？这是一个系统，其研究可作为获取有关另一系统的信息的手段。介绍一些真实的过程，设备或概念。

但是，此定义是一般性的。我们指定研究领域：监视和响应活动中的IS模型。

我将在活动的命名字段中列出模型应用的主要目标：

在数据分析，调查，预防和消除事件的后果和原因方面，对行动进行系统化和协调。一方面，这对于解决操作或战术级别的任务（将事件的工作从一位专家转移到另一位专家，建立最有效的流程等）是必要的。另一方面，对于诸如优先执行特定SIS并将其连接到监视系统，为监视和响应系统创建内容，执行网络命令等战略任务。
用于创建，存储，信息传输，现代化，审计等的系统（信息安全，IT，组织等）描述。此外，模型作为描述系统的工具的价值很重要。这包括从受控网络模型到该网络中的恶意事件模型的所有内容。
培训是关于使用其模型解决问题的系统和方法的知识的传递。我认为，实践中的培训是最有效的方法。但是迟早会出现一个问题，就是将为个人和组织获得的知识系统化。这主要有助于找到隐藏的联系，并确定进一步的发展领域或痛点。
解决其他问题的方法是将方法应用于系统模型。

所有模型对于实现这些目标是否同样有用？当然不是然而，那些经过时间考验并且在历史志中没有被遗忘的东西值得关注。这些模型首先满足什么条件？

简单性。由模型解决的问题的复杂度应高于模型的复杂度。否则，将失去其使用的含义。因此，建议将模型应用于要解决问题的系统的相对独立的部分，并在必要时组合这些表示形式。一个引人注目的示例是将网络模型划分为级别L2，L3等。
有用性。即，该模型的适用范围的宽度及其发展细节的总和。范围越广，众所周知的模型就越有可能适合解决新问题。细节越深，模型越容易使用。也就是说，已经为您描述了所有内容，包括在必要时添加其他详细信息，实体及其关系的过程。这些要求通常相互矛盾，因此，平衡很重要，这可以称为模型的抽象级别。抽象级别越高，模型的适用范围越广。

在应用模型之前，必须记住以下属性：

局限性。任何模型都仅反映以一定精度解决分配给它的任务所需的那些特征。因此，重要的是要知道模型的适用范围以及使用该模型的方法。此属性表示解决问题的模型的充分性。
重复性任何模型仅反映模型创建者已知的仿真系统的那些特征。当出现新的，以前未知的特征时，必须对模型进行修改（这不一定意味着要进行更改）。此功能表明需要修改模型以解决问题。

力学可以作为这些特性的重要性的经典例子：曾经只有经典力学，但是现在又有量子力学和相对论。

理论与实践不同，因此在活动中使用模型时会出现许多特征：

型号的选择来自我们已知的选项。这就是为什么我对翻译后的文章列表如此感兴趣的原因。
该模型的应用会产生由一般的认知失真和个人经历引起的感知错误。因此，尤其是那些对我来说似乎不感兴趣的模型可以为您提供帮助。在调查了该事件之后，具有网络管理员背景的专家应注意他是否错过了任何主机工件。通常最好与同事协商。
模型可以分层。即，将任务分为子任务（反之亦然，可以将子任务合成为一个全局任务），用于使用哪种模型的解决方案，可能与解决父任务的模型不同。同时，模型可以是互补的，也可以是竞争的。重要的是要记住每个模型的细节，并能够将它们彼此链接在一起，以便对一个问题的完美解决方案不会导致相邻模型的退化。

对特定模型（任务本身除外）的应用的贡献是：

威胁模型
资产分类。
风险评估。

这些有用的文档不仅允许您引入一些可以简化模型的限制和假设，而且通常还讨论特定模型的适用性。但是，请不要忘记不使用您的ODS的犯罪分子，并且在调查过程中可能不适合该事件。

基于以上理论部分和所找到的模型描述（从一些图片的示意图到另一些页面的数十页），决定在此抽象文章中使用模型的以下主要特征：

抽象级别。
适用范围
主要规定和原则。
基本实体和方法。
与其他模型的关系（如果有）。
解决的任务。
示例（如有必要）。

3.型号

模型列表取自原始文章。此外，还添加了CVSS3模型，以演示在信息安全中广泛使用的低级抽象模型。

如果您读了整篇文章的懒惰，那么这里有一个小的导航器，用于指示模型的主要应用范围。我将在总结中为读者顺序地引用它。

模型导航器

通用型号：

调查过程-一种在调查和培训过程中寻找问题答案的技术；可以应用于更一般的研究。

处理信息安全事件的模型：

Diamond-事件的搜索和记录，将调查结果转换为TI。
MITER ATT＆CK-事件搜索，行为分析。
证明的意图是法医。
PICERL-事件响应。

构建信息安全系统的模型：

深度防御-防御系统相对于SPI的分离。
网络杀伤链-将防御系统与攻击阶段分开。
痛苦金字塔-与IOC合作。
MITER ATT＆CK-创建监视系统及其评估的内容。
证据的目的是引入特殊的监视工具。
PICERL-事件响应准备。
CVSS3-构建漏洞管理系统。

3.1。调查过程模型

抽象级别：高。

范围：任何研究过程。

重点和原则：

可见不是现实。我们仅拥有有限的信息，并在假设的基础上完全填补了拼图的空白，或者完全跳过了它们。
知识是由问题构成的。
在感知的过程中，我们会引入失真（认知和个人经验）。

主要实体：

观察-信息安全手段（SZI）或分析师假设的证据，已得到某些证实。
问题必须是可验证的，通常是指对象之间的隐式关系。
假说。它由一个假设及其假设的原因组成。
答案是所收集的证实或否定假设的证据（这是可取的，因为这可以加快研究过程）。可能会提出其他问题。
可以用来描述发生的事件的结论。

需要解决的任务：

寻找妥协的事实。
SOC分析师培训。

具有较高抽象水平的所有模型似乎都很简单。但是，首先，并不是所有的毡尖笔都味道相同（黄色更苦）。其次，大多数模型设法找到一些细节，以提高其应用程序的效率。特别是，对于此模型，它是：

“观察”的方法。无需从日志或要求受害者计算机上的加密器勒索赎金的窗口开始调查或选择SZI。但是您应该始终能够解释为什么启动该过程。您认为信息安全趋势已导致某些风险的增加。攻击者可以根据您已知的资产保护弱点来攻击您的资产，这很方便。来自西藏的抗议活动可能会导致来自中国西藏的用户发起大规模攻击。没事
假设的组成。如果不说出解释该假设的原因，您将没有正式的标准来检验该假设。
结论的形式化。结果描述方案应固定。否则，可能无法实现此类结果的概括和基于该结果的战略决策。或者您只是由于研究而错过了一些东西。

3.2。型号“钻石”

抽象级别：高。

范围：涉及信息安全事件的工作框架中的任何研究过程。

重点和原则：

对于每个危害事件，都有一个攻击者执行操作以解决其问题。它利用了基础架构提供的机会。这些机会是针对受害者的，有助于实现攻击者的目标。
有些攻击者正在寻找破坏主机和网络的方法，以提高其意图并满足其需求。
任何系统，因此任何目标资产，都有漏洞和弱点。
每个恶意活动都包含阶段，阶段的成功实施将导致整个活动的成功。
每个入侵事件都需要一个或多个条件才能成功。
攻击者和受害者之间始终存在关系，即使它们是隐式或间接的也是如此。
有网络犯罪分子具有动机，资源和能够在很长一段时间内保持恶意存在的能力。这种恶意活动可以在一个或多个受害者中发生，并且包括克服对策。

主要实体：

攻击者是表演者和客户，分别拟定TTP和攻击的最终目标。
攻击者使用的基础结构。
机会。以质和量为特征。
受害人。资产和一个对攻击者的行为“敏感”的人。

钻石模型自大学以来就为我所熟知，但通常是以单颗钻石的形式绘制的，而我并没有进行更深入的研究。因此，这个问题总是浮现在我脑海：它将如何解决我的问题？没有答案。阅读说明后，我发现了以下有趣的细节。

实体关系：

事件-攻击者在特定阶段使用特定技术采取的行动。它的特征是一组偶极子。该事件以菱形形式显示。
活动流-事件，基于元字段进行合并。
活动组-基于元字段的一组活动流。

这些实体的所有元素都分配有一个可信度等级。

因此，例如，根据“杀伤链”模型，结合了入侵过程定相的菱形模型为描述攻击过程提供了一个极好的框架。链接是根据以下原则进行的：在一个事件中似乎是受害者或机会的东西可以在下面成为基础设施。事件还可以与一个阶段相关，并且顺序或并行进行。此外，对于连接的出现，事件不必与一个活动流相关。这些可能是相关的流程，例如，通过承包商的黑客入侵。其他元字段可让您描述攻击的详细信息。

此外，作者建议描述实体及其与矢量的关系（元素具有数字或固定的语言含义）。这样就可以将事件聚类以找到问题的答案。例如，建立一组攻击者，尝试预测调查期间的下一个或丢失的动作，选择SZI以关闭攻击者的最流行功能，等等。在这方面，将重点放在描述上。

该模型是可扩展的，尤其是在元字段方面。例如，作者提出了这样的选择。

其他实体：

社会政治方面（动机）。
技术方面。

这种方法还涉及使用非技术对策。通过影响攻击者的动机和动机来实施这些方法。该模型的描述中给出了一个示例：真正的黑客攻击之一是在有能力的同志打电话给表演者的母亲后停止的。俗话说，在战争中一切手段都是好的。

需要解决的任务：

在数据分析，调查，预防和消除事故根源的过程中，对行动进行系统化和协调。
基于图形的调查，预防和消除事故原因分析问题的数学计算错误。
不仅使用技术对策。例如，通过非技术手段排除攻击媒介，限制受保护信息的流通回路等。

在描述事件时，我们可以从防御者的视角转到攻击者侧面的视角。然后，我们获得了可能的攻击选择图，从中可以建立信息安全系统。

3.3。型号MITER ATT＆CK

抽象级别：中等。

适用范围：

计算机网络的信息安全性（用于同一组织MITER CAPEC的相邻项目中的应用程序安全性，数据库安全性等）。
终端设备上的传感器必须部署在组织中，以提供连续监视（而不是快照）。该矩阵已更新了几次，因此数据并不完全相关。但是，在没有传感器的情况下可以检测到的东西的大概想法由模型先前迭代之一的绿色块显示（扰流器：无）。

存在矩阵的系统：

企业：Windows，Linux，MacOS。
移动设备：Android，iOS。

重点：

该模型是从攻击者的角度构建的。因此，我们可以继续讨论“发生了什么？”这一问题。到“会发生什么？” 即从被动行动到主动行动
( ). , . 即 , . , .. .
. , , , RedCanary Atomic Threat Coverage . .
«?».
«?».

。
:

. . , – .
, , . , . , , . , .
. , .
. , , , , .
. .

, .
Red Team.
.
.
评估SOC成熟度水平（基于矩阵覆盖率）。
TI数据充实。也许是因为该矩阵基本上建立在TI报告上。
情境意识。与上一段相似。
异常分析。而是从使用矩阵的经验中获得了令人愉快的奖励。
法医。

目标已识别实体：

事件的时间窗口。
受损/涉及的主机。
受损的帐户。
攻击者
二手战术和技巧。

分解为战术可捕获“杀手链”的一部分，但每个阶段都包括一个到多个战术。

3.4。深度防御模型

抽象级别：高。

范围：构建信息安全系统。

重点和原则：

缺乏单点妥协。
冗余和重叠攻击向量。

要解决的任务：构建阶梯式（就方法和手段而言）防护，以增加攻击的时间和成本，并针对防护措施的特定弱点进行防护。

该模型本身说明得很好，即使对组织中的IS外围采用新方法也可以成功应用。

3.5。痛苦金字塔模型

抽象级别：高。

范围：与国际奥委会合作的任何研究过程。

重点和原则：检测和预防使用IOC可以削弱攻击者，这种影响的程度取决于IOC的类型。

主要实体： IOC类型。

要解决的任务：检测IOC以进行调查，预防和消除事件原因。

由于此模型最适合TI，因此我将在此处保留一个链接关于该主题的最新有趣文章之一。它考虑了指标和其他有趣点的生命周期。此外，该模型还显示了为什么对TTP描述（例如上述MITER ATT＆CK）如此感兴趣。

3.6。模型“网络杀人链”

抽象级别：高。

范围：处理信息安全事件。

重点和原则：

为了实现最终目标，攻击者解决了一些强制性任务。
预防，发现或消除完成任务的原因，过程和后果会严重影响攻击者实现最终目标。

主要实体：反映攻击者任务的阶段：侦察，武器，交付，操作，安装，管理，网络内的行动。

要解决的任务：构建分层（相对于阶段）的信息保护系统。

可伸缩模型的一个很好的例子。根据要解决的任务，或多或少会产生许多类似物。

这也是重叠模型的一个很好的例子。与MITER ATT＆CK或Diamond搭配得很好。

3.7。证据意图模型

抽象级别：高。

范围：处理信息安全事件。

重点和原则：

有证据表明软件开发人员有意无意地提供了恶意活动。
信任级别，收集方法等取决于提供证据的方法。

主要实体和方法：证据类型（有意，无意）。

要解决的任务：优先收集证据并评估其可靠性。

范例：

软件和操作系统日志是有意证明的。
查询缓存是意外的证据。
网络流量是通过设计证明的，即对象的存在由其存在的事实证明。

我将这个概念称为扩展的“模型”。它允许在可能涉及意外证据的法证和监控之间划定一个部分，通常没有这种手段。或有，但有目的。除此之外，我受不了它的好处。

3.8。PICERL事件响应流程模型

抽象级别：中等。

范围：对信息安全事件的响应。

要点和原则：响应IS事件包括几个阶段。

关键实体： IS事件响应阶段：准备，检测，遏制，根除，恢复，结果分析。

要解决的任务：建立响应信息安全事件的生命周期。

原则上，这是“杀伤链”模型的一个很好的类似物，但仅与响应有关。考虑到每个阶段指示的操作，它可以为创建剧本提供很好的帮助。最重要的是不要忘记首先施加组织结构和所涉人员的权力，然后施加IT基础结构的功能。

3.9。型号CVSS3

抽象级别：低。

范围：漏洞的优先级。

关键点和原则：可以使用以下指标来计算漏洞评估：

基本指标。
时间指标（随时间变化）。
上下文指标（取决于组织的IT基础结构）。

基本实体（括号中是该度量接受的可能值）：
基本度量：
易受攻击的组件，其特征在于操作度量：

攻击向量AV（NALP），潜在攻击者与易受攻击对象的距离程度。
利用AC漏洞（LH）的复杂性，对攻击的复杂性进行定性评估。
身份验证/必需的PR特权级别（HLN）。
需要用户交互UI（NR）。
操作限制S（UC），被攻击和被攻击的组件是否不同。

被攻击的组件（以影响指标为特征）：

评估对受攻击组件C，I，A（NMH）的机密性，完整性和可用性的影响程度。

时间指标：

E (ND/XHF POC/PU).
RL (ND/XUW TF/T OF/O).
RC (XURC).

CR, IR, AR (ND/XHML).
MAV, MAC, MPR, MUI, MS, MC, MI, MA, I- .

要解决的任务：漏洞（评估+向量）和漏洞链的优先级。

列出了该模型的更详细描述，包括此处。本文提供了从CVSS2到CVSS3的评估过渡示例，很好地说明了模型的迭代原理。同样在发布准备期间，CVSS3.1也发布了。

尽管许多指标都经过同行评审，但该标准提供了一些专业知识。因此，最终评估并不太依赖于进行评估的组织。

3.10其他型号

在讨论之外，模型如下：

中情局
恐惧
跨度
运营环境联合情报准备（JIOPE）
亚当
攻击树
竞争假设分析（ACH）

4.而不是结论。

基于使用各种形式化程度的模型以及各种国内外标准的系统安全方法，使我们避免了很多错误。它不仅有助于忘记成功构建系统所需的条件和因素（无论是ISIS整体还是特定事件的调查）。但它也允许您丢弃不必要的参数，这只会使图片复杂化。

重要的是要记住，模型和标准不是最终的真理。不仅因为必须对其进行定期检查，以便最大程度地明确显示实际对象，并将其作为要解决的任务的一部分。而且还因为总的来说，应该根据您接受的任务，限制和假设来选择它们，这些限制和假设当然会随着时间而改变。使用特定模型的决定还取决于外部过程的要求，这些外部过程会为您的任务提供信息或接受您的工作结果数据。我认为，本文可以为选择最合适的模型做出贡献。接下来由您决定。

总而言之，我将按模型复制一个小型导航器，以指示其应用程序的主要领域。

通用型号：

调查过程-一种在调查和培训过程中寻找问题答案的技术；可以应用于更一般的研究。

处理信息安全事件的模型：

Diamond-搜索和记录事件，将调查结果转换为TI
MITER ATT＆CK-事件搜索，行为分析。
证明的意图是法医。
PICERL-事件响应。

构建信息安全系统的模型：

深度防御-防御系统相对于SPI的分离。
网络杀伤链-将防御系统与攻击阶段分开。
痛苦金字塔-与IOC合作。
MITER ATT＆CK-创建监视系统及其评估的内容。
证据的目的是引入特殊的监视工具。
PICERL-事件响应准备。
CVSS3-构建漏洞管理系统。

值得记住的是，这些模型可以用于其他目的。此外，他们可以指定相邻区域的要求。例如，确定在相关过程的输入或输出中将在其中使用的数据的组成和格式。

信息安全中的模型