Model Diamentowy - praktyczny przewodnik po analizie incydentów

Masz alert z SIEM-a: malware komunikuje się z podejrzanym adresem IP. Co robisz dalej? Blokujesz IP i zamykasz ticket? Większość zespołów SOC robi dokładnie to - i traci szansę na zrozumienie, kto za tym stoi, jakie inne systemy mogą być zainfekowane i czy to część większej kampanii.

W 2013 roku Sergio Caltagirone, Andrew Pendergast i Christopher Betz opublikowali framework, który rozwiązuje ten problem. Model Diamentowy (Diamond Model of Intrusion Analysis) to narzędzie do systematycznej analizy incydentów - od pojedynczego IOC do pełnego obrazu kampanii.

Cztery wierzchołki diamentu

Każdy incydent bezpieczeństwa opisują cztery elementy połączone w kształt diamentu:

Wierzchołek	Co opisuje	Pytania, które zadaje	Przykład (Stuxnet)
Adversary (Przeciwnik)	Kto stoi za atakiem	Motywacja? Zasoby? Państwowy czy komercyjny?	USA + Izrael (Operation Olympic Games)
Capability (Zdolności)	Narzędzia i techniki	Jakie malware? Jakie exploity? Własne czy kupione?	4 zero-days, rootkit PLC, manipulacja S7-315/417
Infrastructure (Infrastruktura)	Zasoby techniczne ataku	Domeny C2? Serwery? Wektor dostarczenia?	Supply chain 5 irańskich firm, USB, serwery C2
Victim (Ofiara)	Cel ataku	Jaki sektor? Jakie systemy? Dlaczego ten cel?	Natanz, wirówki IR-1, sterowniki Siemens S7

Sześć krawędzi diamentu łączy wierzchołki w pary - każda para to pytanie analityczne:

• Adversary - Capability: Jakie narzędzia rozwinął przeciwnik? Czy kupił je na darkweb, czy opracował własne?
• Adversary - Infrastructure: Jaką infrastrukturę kontroluje? Własne serwery czy przejęte?
• Adversary - Victim: Jaka jest relacja? Dlaczego akurat ten cel?
• Capability - Infrastructure: Jak narzędzia wykorzystują infrastrukturę do komunikacji?
• Capability - Victim: Jakie techniki zadziałały? Co było wektorem wejścia?
• Infrastructure - Victim: Przez jaką infrastrukturę przebiegał atak na ofiarę?

Pivoting - siła Modelu Diamentowego

Prawdziwa wartość frameworka ujawnia się w pivotingu - systematycznym przechodzeniu od jednego znanego elementu do odkrywania nieznanych.

Przykład: wykrywasz malware w sieci OT (znasz Capability) komunikujący się z adresem IP (znasz Infrastructure). Od tego punktu pivotujesz:

1. Infrastructure → Adversary: Kto kontroluje ten IP? Czy ten sam IP pojawia się w raportach threat intelligence?
2. Infrastructure → Capability: Jakie inne narzędzia komunikują się z tym IP? Czy jest więcej malware w sieci?
3. Adversary → Victim: Jakie inne organizacje zaatakował ten sam przeciwnik? Czy atakuje cały sektor?
4. Capability → Victim: Jakie systemy w Twojej sieci mogą być podatne na te same techniki?

Każdy pivot generuje nowe pytania i nowe IOC do sprawdzenia. Pojedynczy alert staje się mapą powiązań.

Activity Threading i Activity Groups

Model Diamentowy definiuje dwa wyższe poziomy analizy:

Activity Thread (Wątek aktywności)

Sekwencja powiązanych zdarzeń (eventów diamentowych) w porządku chronologicznym. Wątek opisuje jedno przejście atakującego przez Kill Chain:

E₁ (rekonesans) → E₂ (dostarczenie) → E₃ (eksploitacja) → E₄ (C2) → E₅ (eksfiltracja)

Każde zdarzenie to osobny diament z czterema wierzchołkami. Wątek łączy je w spójną narrację.

Activity Group (Grupa aktywności)

Gdy wiele wątków współdzieli elementy (ten sam adversary, ta sama infrastruktura, te same capability) - łączymy je w grupę aktywności. To odpowiednik kampanii lub grupy APT w terminologii threat intelligence.

Poziom	Co opisuje	Przykład
Event	Pojedyncze zdarzenie	Malware łączy się z C2
Activity Thread	Sekwencja zdarzeń jednego ataku	Phishing → exploit → C2 → exfil
Activity Group	Klaster powiązanych ataków	Kampania Sandworm 2022-2024

Praktyczna analiza - dwa incydenty OT

Porównajmy dwa realne incydenty przez pryzmat Modelu Diamentowego:

Wierzchołek	Colonial Pipeline (2021)	Industroyer (2016)
Adversary	DarkSide - motywacja finansowa, model RaaS	Sandworm Team / GRU - motywacja geopolityczna
Capability	Ransomware + eksfiltracja danych, skompromitowane hasło VPN	Framework z 4 modułami protokołów OT (IEC 101, IEC 104, OPC DA, 61850)
Infrastructure	1 konto VPN bez MFA, serwery C2 w sieci TOR	Sieć przejętych serwerów, wielowarstwowe kanały C2
Victim	Operator rurociągu paliwowego, systemy IT + MES/billing	Ukrenergo, stacja elektroenergetyczna, systemy SCADA
Co mówi diament	Oportunistyczny atak na słabe ogniwo IT. Defensywny shutdown OT.	Państwowy atak celowany w infrastrukturę krytyczną z dedykowanym toolingiem OT
Strategia obrony	MFA + backup + plan IR + segmentacja IT-OT	Segmentacja OT + monitoring protokołów przemysłowych + procedury manualne

Kluczowa obserwacja: analiza wierzchołka Adversary zmienia strategię obrony. Atak finansowy (Colonial Pipeline) wymaga standardowych kontroli IT. Atak państwowy (Industroyer) wymaga głębokiej obrony warstw OT - bo atakujący ma zasoby, czas i motywację, żeby obejść standardowe zabezpieczenia.

Model Diamentowy a inne frameworki

Trzy frameworki działają najlepiej razem:

Framework	Odpowiada na pytanie	Mocna strona	Słaba strona
Cyber Kill Chain	Na jakim etapie jest atak?	Planowanie obrony warstwowej	Liniowy, nie oddaje złożoności
MITRE ATT&CK	Jaką technikę zastosował atakujący?	Detekcja, priorytetyzacja	Brak kontekstu strategicznego
Model Diamentowy	Kto atakuje, czym i dlaczego?	Threat intelligence, atrybucja	Wymaga danych o przeciwnikach

W praktyce analizę incydentu OT warto przeprowadzić przez wszystkie trzy perspektywy:

1. Kill Chain - na jakim etapie wykryliśmy atak? Gdzie zawiodła obrona?
2. MITRE ATT&CK - jakie techniki zastosowano? Jakie detekcje dodać?
3. Diamond Model - kto za tym stoi? Czy spodziewamy się kolejnych ataków? Jaka powinna być strategia?

Jak wdrożyć Model Diamentowy w organizacji

Checklist wdrożenia

• Stwórz szablon diamentu (4 wierzchołki + 6 krawędzi) w narzędziu do zarządzania incydentami
• Przy każdym incydencie wypełniaj diament - nawet jeśli nie znasz wszystkich wierzchołków
• Zbieraj IOC i łącz je z wierzchołkami (IP → Infrastructure, hash → Capability)
• Pivotuj z każdego znanego wierzchołka do odkrywania nieznanych
• Łącz zdarzenia w wątki aktywności (Activity Threads) chronologicznie
• Grupuj wątki z wspólnymi elementami w grupy aktywności (Activity Groups)
• Integruj z platformą threat intelligence (MISP, OpenCTI, ThreatConnect) gdy skala operacji rośnie
• Dziel się analizami z ISAC sektorowym (FS-ISAC, E-ISAC)

Rozszerzenia Modelu - meta-features i piąty wymiar

Oryginalny paper definiuje dodatkowe meta-features dla każdego zdarzenia:

Meta-feature	Opis	Przykład
Timestamp	Kiedy zdarzenie miało miejsce	2021-05-07T05:30:00Z
Phase	Faza ataku (rekonesans, dostarczenie, C2…)	Initial Access
Result	Sukces, porażka, nieznany	Success - lateral movement
Direction	Kierunek ataku (A→V, V→A, bidirectional)	Adversary → Victim
Methodology	Sposób ataku (phishing, waterhole, supply chain)	Spear-phishing
Resources	Zasoby wymagane do ataku	Medium (commodity malware)

W 2025 roku Cisco Talos zaproponował rozszerzenie o piąty wymiar - Relationship Layer - dla kampanii wieloaktorowych (np. model RaaS, gdzie initial access broker, operator ransomware i negocjator to różni aktorzy współpracujący w jednym ataku).

Źródła

• Caltagirone, Pendergast, Betz “The Diamond Model of Intrusion Analysis” (2013)
• CMU SEI “Using Honeynets and the Diamond Model for ICS Threat Analysis”
• ThreatConnect “The Diamond Model Knowledge Base”
• Recorded Future “Diamond Model of Intrusion Analysis”
• Vectra AI “Diamond Model of Intrusion Analysis: Components and Axioms”
• MITRE ATT&CK for ICS
• Lockheed Martin Cyber Kill Chain