Min personliga, och professionella, inställning till cybersäkerhet är att den i stor utsträckning ska konstrueras utifrån förståelse för verkliga intrång och incidenter. Vi ska helt enkelt prioritera att skydda oss från sådant som hänt på riktigt, och helst demonstrerats upprepade gånger. Någon kommer dessvärre behöva vara den första att drabbas men om vi drar lärdom från vad som hänt är det åtminstone inte förgäves.
Diamant-modellen hjälper oss först och främst att dra lärdom från intrång, genomförda eller pågående spelar ingen roll. Modellen ger oss ett enkelt men kraftfullt sätt att systematiskt beskriva det vi känner till av ett intrång. Modellens stora styrka visar sig dock först om vi använder den över tid. Det är nämligen då vi kan börja utforska likheter och olikheter i dokumenterade intrång. Vi kan börja urskilja mönster, trender och kanske t.o.m förutse vissa typer av framtida intrång.
Modellen utgår ifrån att ett intrång kan delas upp i diskreta händelser, eller events. Dessa händelser ordnas oftast i ett fas-orienterat händelseförlopp som beskriver intrånget från start till slut. Hur de diskreta händelserna ordnas är egentligen bara en fråga om analytikerns fantasi. Förhoppningen är dock att delar av ett händelseförlopp grupperas för att beskriva typiska kedjor av händelser. Antag att ett återkommande mönster exempelvis skulle kunna beskriva hur skadlig kod efter installation försöker upprätta krypterad C2-kommunikation över TCP-port 8443 mot en domän som registrerats för endast tre dagar sedan.
Över tid när du dokumenterat och samlat information om intrång blir det också möjligt att kvantitativt beskriva de mest troliga typerna av intrång som kan komma att riktas mot din organisation. Detta ger dig således ett försvarbart sätt att arbeta med risker. Extra kraftfullt blir det om du samarbetar med andra organisationer och kan dra nytta av deras erfarenheter för typer av angrepp som är relevanta för dig och din organisation.
I nästa inlägg kommer jag att i detalj beskriva hur modellen fungerar och ge exempel på hur den tillämpas. Vidare kommer jag förklara hur den förhåller sig till exempelvis Cyber Kill Chain . Till dess föreslår jag att du laddar ner uppsatsen som beskriver modellen. Hör av dig om det är något särskilt du vill att jag belyser i nästa inlägg.