# Diamond Model of Intrusion Analysis > [!abstract] Síntese > O Diamond Model of Intrusion Analysis é um framework analítico desenvolvido em 2013 por analistas de inteligência para estruturar a análise de intrusões cibernéticas. O modelo organiza cada evento de intrusão em torno de quatro vértices - **Adversário**, **Infraestrutura**, **Capacidade** e **Vítima** - conectados por relações axiomáticas. Diferente do [[mitre-attack|MITRE ATT&CK]] (que categoriza técnicas) ou do [[cyber-kill-chain|Kill Chain]] (que sequencia fases), o Diamond Model é uma ferramenta de **raciocínio analítico** usada para atribuição, pivotamento de inteligência e correlação de campanhas. --- ## Visão Geral O Diamond Model foi desenvolvido por Sergio Caltagirone, Andrew Pendergast e Christopher Betz e publicado em 2013 como resposta a uma lacuna métodológica na análise de CTI: a maioria das ferramentas da época focava em IoCs (indicadores pontuais) sem uma estrutura para correlacionar eventos e entender o comportamento do adversário ao longo do tempo. O modelo introduziu uma linguagem comum para analistas estruturarem observações sobre intrusões e derivarem inteligência acionável. A premissa central é que todo evento de intrusão pode ser descrito por quatro elementos inter-relacionados: quem atacou (adversário), com o quê (capacidade), através de quê (infraestrutura), e quem foi alvo (vítima). Ao mapear múltiplos eventos usando esse modelo, analistas identificam padrões que revelam campanhas, pivotam para infraestrutura não detectada e correlacionam grupos distintos que compartilham recursos. O Diamond Model é a estrutura implícita que o RunkIntel usa para conectar perfis de [[_groups|grupos APT]], [[_malware|malware]], [[_campaigns|campanhas]] e [[_sectors|setores vitimados]]. > [!latam] Relevância para o Brasil e LATAM > O Diamond Model é aplicado por analistas do CERT.br e SOCs de grandes bancos brasileiros para correlacionar incidentes de banking trojans. Quando o mesmo domínio C2 é visto em ataques ao Itaú e ao Bradesco, o pivotamento por infraestrutura (vértice do Diamond Model) revela que ambos os incidentes pertencem à mesma campanha - permitindo resposta coordenada. O Grandoreiro, por exemplo, foi correlacionado entre Brasil, Espanha e México exatamente por esse tipo de análise. --- ## Os 4 Vértices do Diamante ```mermaid graph TB ADV["😈 Adversário<br/>Quem conduz o ataque<br/>(APT, crime organizado, insider)"] INF["🌐 Infraestrutura<br/>Recursos usados pelo adversário<br/>(C2, domínios, IPs, contas)"] CAP["⚙️ Capacidade<br/>Ferramentas e técnicas<br/>(malware, exploits, TTPs)"] VIT["🏢 Vítima<br/>Alvo do ataque<br/>(pessoa, org, sistema, setor)"] ADV -->|"usa"| CAP ADV -->|"controla"| INF CAP -->|"explora"| VIT INF -->|"direciona para"| VIT ADV --- INF CAP --- VIT style ADV fill:#1a1a2e,stroke:#e94560,color:#fff style INF fill:#16213e,stroke:#3498db,color:#fff style CAP fill:#16213e,stroke:#f39c12,color:#fff style VIT fill:#16213e,stroke:#27ae60,color:#fff ``` > Cada evento de intrusão é representado como um diamante. A diagonal principal (Adversário - Vítima) representa a relação de ataque. A diagonal secundária (Infraestrutura - Capacidade) representa os meios usados. --- ## Detalhamento dos Vértices ### Adversário O ator humano ou organização responsável pela intrusão. Pode ser: - **Grupo APT** patrocinado por estado-nação (ex: [[g0032-lazarus-group|Lazarus Group]]) - **Grupo de crime organizado** motivado financeiramente - **Hacktivista** com motivação ideológica - **Insider** com acesso privilegiado O adversário tem **intenção** (motivação), **capacidade** (habilidade técnica) e **oportunidade** (acesso ao alvo). A análise do adversário permite prever alvos futuros e TTPs esperados. ### Infraestrutura Recursos físicos e lógicos usados para conduzir o ataque: - **Tipo 1**: Diretamente controlada pelo adversário (VPS, domínios registrados, contas próprias) - **Tipo 2**: Controlada por terceiros e comprometida pelo adversário (servidores de vítimas anteriores, botnets) A infraestrutura é o elemento mais **rastreável** - IPs, domínios e certificados deixam rastros públicos que permitem pivotamento. ### Capacidade Ferramentas, técnicas e malware usados no ataque: - **Malware**: RATs, loaders, ransomware, infostealers - **Exploits**: CVEs específicas exploradas - **TTPs**: Técnicas do [[mitre-attack|MITRE ATT&CK]] - **Capacidades adversariais**: Desenvolvimento próprio vs. ferramentas commodity As capacidades revelam o **nível de sofisticação** do adversário e permitem correlação entre campanhas distintas. ### Vítima O alvo do ataque - pode ser pessoa, organização, sistema ou setor: - **Persona** da vítima: quem é o alvo (CEO, desenvolvedor, sistema OT) - **Ativos da vítima**: o que o adversário busca (credenciais, dados financeiros, acesso a infraestrutura) A análise da vítima permite entender o **por que** do ataque e antecipar próximos alvos com perfil similar. --- ## Meta-Características Além dos 4 vértices, o Diamond Model define **meta-características** que enriquecem cada evento: | Meta-Característica | Descrição | Exemplo | | ------------------- | --------- | ------- | | Timestamp | Quando o evento ocorreu | 2024-10-23 03:47 UTC | | Phase | Fase do Kill Chain | Exploração (fase 4) | | Result | Resultado do evento | Sucesso - credenciais exfiltradas | | Direction | Direção do ataque | Adversário → Vítima via infraestrutura | | Methodology | Método geral | Spear-phishing com CVE-2024-XXXXX | | Resources | Recursos necessários | Conhecimento técnico médio, infraestrutura simples | --- ## Pivotamento de Inteligência A principal utilidade operacional do Diamond Model é o **pivotamento** - usar um elemento conhecido para descobrir elementos desconhecidos: ```mermaid graph TB KNOWN["🔍 Elemento Conhecido<br/>IP de C2 identificado"] KNOWN --> P1["Pivot por Infraestrutura<br/>Outros IPs no mesmo<br/>range/ASN/certificado"] KNOWN --> P2["Pivot por Capacidade<br/>Malware que usou<br/>este C2 em outras campanhas"] KNOWN --> P3["Pivot por Adversário<br/>Quem registrou o domínio?<br/>Padrões de registros anteriores"] KNOWN --> P4["Pivot por Vítima<br/>Quais outros setores<br/>foram alvo desta infraestrutura"] style KNOWN fill:#1a1a2e,stroke:#e94560,color:#fff ``` --- ## Diamond Model no RunkIntel O RunkIntel estrutura seu knowledge graph usando os 4 vértices do Diamond Model implicitamente: | Vértice | Seção no Vault | | ------- | -------------- | | Adversário | [[_groups\|cti/groups/]] - perfis de grupos APT e crime organizado | | Infraestrutura | Propriedades de C2 em notas de [[_malware\|malware]] e [[_campaigns\|campanhas]] | | Capacidade | [[_techniques\|ttp/techniques/]], [[_malware\|cti/software/malware/]], [[_tools\|cti/software/tools/]] | | Vítima | [[_sectors\|market/sectors/]], [[_regions\|market/regions/]], [[_vendors\|market/vendors/]] | Cada nota de [[_campaigns|campanha]] efetivamente documenta um "diamante composto" - múltiplos eventos de intrusão correlacionados. --- ## Activity Threads e Campanhas O Diamond Model escala para análise de campanhas através do conceito de **Activity Threads** - sequências temporais de diamantes (eventos) ligados pelo mesmo adversário ou infraestrutura. Uma campanha como a documentada nas [[_campaigns|notas de campanha]] do vault é um conjunto de activity threads inter-relacionados. --- ## Relevância para o Brasil O Diamond Model é ferramenta central para analistas de CTI que monitoram ameaças ao Brasil: - **CERT.br e CTIR Gov**: Usam raciocínio diamante para correlacionar incidentes reportados por diferentes organizações - **SOCs de grandes bancos**: Analistas usam o modelo para estruturar relatórios de ameaças e justificar bloqueios de infraestrutura - **[[financial|Setor Financeiro]]**: Análise de campanhas de fraude e BEC (Business Email Compromise) contra empresas brasileiras segue o fluxo adversário-infraestrutura-capacidade-vítima - **Inteligência LATAM**: O [[_feed|feed CTI do RunkIntel]] usa Diamond Model implicitamente para correlacionar atores que atacam diferentes países da região --- ## Referências - [The Diamond Model of Intrusion Analysis (Paper Original, 2013)](https://www.activeresponse.org/wp-content/uploads/2013/07/diamond.pdf) - [Sergio Caltagirone - Threat Intelligence Framework Comparison](https://www.threatintelligenceone.com/) - [SANS FOR578 - Cyber Threat Intelligence (usa Diamond Model extensivamente)](https://www.sans.org/courses/cyber-threat-intelligence/) - [CTI Fundamentals - Diamond Model in Practice](https://www.recordedfuture.com/) --- ← Voltar para **[[_regulations|Regulações]]** · **[[_market|Market Intelligence]]**