Il modello Diamond per l'analisi delle intrusioni: una guida pratica all'intelligence strutturata sulle minacce

Approfondimenti chiave

Il Modello Diamond rappresenta ogni intrusione come un insieme di quattro elementi interconnessi — aggressore, capacità, infrastruttura e vittima — consentendo un'analisi basata sulle relazioni che i modelli lineari non riescono a cogliere.
Sette assiomi formali e una serie di meta-caratteristiche conferiscono al modello una profondità teorica, ma la maggior parte delle guide li tralascia completamente, lasciando i professionisti con una comprensione incompleta.
Combinando il Modello Diamond con la cyber kill chain e MITRE ATT&CK fornisce analisi relazionali, temporali e comportamentali in un unico flusso di lavoro.
Il modello Diamond esteso di Cisco Talos 2025 introduce un quinto livello di relazione per le campagne che coinvolgono più attori, come i passaggi di consegne nel contesto del ransomware-as-a-service.
Un flusso di lavoro in sei fasi, basato sul principio "pivot and populate", trasforma un singolo indicatore di compromissione in un quadro completo delle minacce.

Ogni intrusione racconta una storia, con i suoi protagonisti, gli strumenti, i luoghi dell’azione e gli obiettivi. La sfida per i team di sicurezza consiste nel decifrare quella storia con sufficiente rapidità da poter agire di conseguenza. Il Modello a Diamante per l'analisi delle intrusioni fornisce agli analisti un vocabolario strutturato per fare esattamente questo. Pubblicato per la prima volta come documento di ricerca dal Defense Technical Information Center nel 2013, questo modello è diventato una pietra miliare nella formazione sui framework di sicurezza informatica e un elemento fondamentale di certificazioni quali CompTIA Security+ (SY0-701), CySA+ (CS0-003) ed EC-Council CEH. Questa guida illustra le quattro componenti principali del modello, i suoi fondamenti teorici più approfonditi e il modo in cui i professionisti lo applicano a incidenti reali, comprese le estensioni che nessun concorrente copre.

Che cos'è il modello Diamond dell'analisi delle intrusioni?

Il Modello a Diamante per l'analisi delle intrusioni è un quadro formale che descrive ogni evento di intrusione informatica attraverso quattro elementi interconnessi — aggressore, capacità, infrastruttura e vittima — disposti a forma di diamante per consentire un'analisi strutturata delle informazioni sulle minacce basata sulle relazioni. È stato introdotto da Sergio Caltagirone, Andrew Pendergast e Christopher Betz nel loro articolo di ricerca originale del 2013 (PDF).

Il principio di base è chiaro. Anziché considerare le intrusioni come semplici segnalazioni isolate, il Modello Diamond induce gli analisti a porsi quattro domande su ogni evento. Chi è l'autore dell'attacco? Quali capacità ha utilizzato? Quale infrastruttura ha supportato l'operazione? E chi o cosa è stata la vittima? È proprio nelle relazioni tra queste quattro caratteristiche — e non solo nelle caratteristiche stesse — che risiede la forza dell'analisi.

Questo approccio relazionale distingue il Modello a Diamante dai modelli sequenziali come la «cyber kill chain». Mentre la kill chain descrive le fasi dell'attacco in ordine cronologico, il Modello a Diamante ne coglie la rete di connessioni all'interno di ciascuna fase. Entrambe le prospettive sono importanti, ed è per questo che i team di sicurezza più esperti le utilizzano congiuntamente.

Il Modello Diamond è presente nei programmi di preparazione alla certificazione CompTIA CySA+ e nei corsi Security+, rendendolo una conoscenza fondamentale per gli analisti in ogni fase della loro carriera.

I quattro elementi fondamentali del Modello a Diamante

Ogni evento del Modello del Diamante ruota attorno a quattro elementi, ciascuno dei quali occupa un vertice del diamante.

Avversario. L'autore o il gruppo responsabile dell'intrusione. Può trattarsi sia di un gruppo APT ben noto sia di un autore sconosciuto identificato solo in base a determinati modelli comportamentali. In molti casi, il nodo relativo all'avversario parte da vuoto e viene compilato nel corso dell'analisi.
Capacità. Gli strumenti, le tecniche e il malware utilizzati dall'avversario. Ciò include codice di exploit, backdoor personalizzate, binari " living-off-the-land " e tattiche di ingegneria sociale. Le capacità corrispondono direttamente alle MITRE ATT&CK .
Infrastruttura. Le risorse fisiche o logiche che forniscono funzionalità o garantiscono il comando e il controllo. Ciò comprende server C2, nomi di dominio, indirizzi e-mail, siti web compromessi e cloud . L'infrastruttura è spesso l'elemento più facilmente individuabile e il miglior punto di partenza per il pivoting.
Vittima. Il bersaglio dell'intrusione, che si tratti di un'organizzazione, di un sistema specifico, di una persona o di un insieme di dati. L'analisi del profilo delle vittime aiuta gli analisti a comprendere le modalità di selezione dei bersagli e a prevedere attacchi futuri.

Comprendere le relazioni tra le caratteristiche e i bordi

I quattro elementi sono collegati tra loro tramite sei relazioni, ed è proprio grazie a queste relazioni che il Modello a Diamante acquista la sua potenza analitica. La relazione «avversario-infrastruttura» rivela quali risorse un attore controlla. La relazione «capacità-vittima» mostra in che modo strumenti specifici influenzano determinati obiettivi. La relazione «infrastruttura-vittima» mette in luce i meccanismi di diffusione.

Ogni collegamento è bidirezionale, consentendo agli analisti di passare da qualsiasi elemento noto per individuare quelli sconosciuti. Se si conosce l'infrastruttura (un dominio C2), è possibile seguire il collegamento "infrastruttura-autore dell'attacco" per identificare chi la gestisce, oppure il collegamento "infrastruttura-capacità" per scoprire quali strumenti comunicano con essa. Questa tecnica di analisi incrociata trasforma gli indicatori di compromissione isolati in informazioni interconnesse.

Figura: Le quattro componenti del Modello a Diamante (avversario, capacità, infrastruttura, vittima), collegate da sei bordi bidirezionali, costituiscono la base dell'analisi strutturata delle intrusioni.

Concetti avanzati: assiomi, meta-caratteristiche e threading delle attività

La maggior parte delle guide introduttive si limita a descrivere queste quattro caratteristiche. Sono invece i fondamenti teorici più profondi del Modello Diamante — assiomi, meta-caratteristiche e concatenamento delle attività — a renderlo un quadro analitico rigoroso piuttosto che un semplice diagramma.

I sette assiomi del Modello Diamante

L'articolo originale enuncia sette assiomi formali che ne regolano il funzionamento.

Assioma 1 (Assioma dell'evento). Per ogni evento di intrusione, un aggressore compie un passo verso l'obiettivo prefissato utilizzando una funzionalità dell'infrastruttura contro una vittima per ottenere un risultato.
Assioma 2 (Ordinamento). Ogni evento di intrusione fa parte di una sequenza ordinata e l'aggressore deve eseguire le fasi precedenti prima di quelle successive.
Assioma 3 (Direzionalità). Ogni capacità ed elemento infrastrutturale ha una direzione, sia verso la vittima (attacco) sia proveniente dall'avversario (supporto).
Assioma 4 (Completezza). Un evento di intrusione descritto in modo completo presenta tutte e quattro le caratteristiche, anche se in un dato momento gli analisti potrebbero conoscerne solo una parte.
Assioma 5 (Gruppo di avversari). Un avversario è un insieme di profili di avversari, ciascuno dei quali può agire sotto identità diverse.
Assioma 6 (Completezza delle capacità). Ogni avversario dispone di un insieme finito di capacità, ciascuna delle quali richiede un'infrastruttura specifica.
Assioma 7 (Riutilizzo dell'infrastruttura). L'infrastruttura viene condivisa, riutilizzata o adattata a nuovi scopi tra un attacco e l'altro, creando opportunità di correlazione.

L'assioma 7 è particolarmente importante per gli operatori del settore. Il riutilizzo delle infrastrutture è uno dei modi più affidabili per collegare eventi apparentemente non correlati allo stesso autore o alla stessa campagna.

Meta-caratteristiche: gli assi socio-politico e tecnologico

Oltre alle quattro caratteristiche principali, il Modello Diamante definisce delle meta-caratteristiche che aggiungono profondità contestuale.

L'asse socio-politico illustra il rapporto tra aggressore e vittima, descrivendo motivazioni quali lo spionaggio da parte di Stati-nazione, la criminalità a scopo di lucro o l'hacktivismo. Questo asse aiuta gli analisti a comprendere perché una minaccia persistente avanzata prenda di mira organizzazioni specifiche.

L'asse tecnologico collega funzionalità e infrastruttura, descrivendo il modo in cui gli strumenti tecnici interagiscono con le risorse di supporto: tipi di protocollo, metodi di crittografia e canali di comunicazione.

Altre metadati includono la data e l'ora, la fase (corrispondente alle fasi della kill chain), l'esito (successo o fallimento), la direzione, la metodologia e le risorse. Nel loro insieme, questi elementi trasformano ogni evento "diamante" in una scheda analitica dettagliata.

Tabella: Le meta-caratteristiche del modello Diamond ampliano l'analisi di base con dimensioni contestuali.

Meta-funzionalità	Definizione	Esempio	Valore analitico
Data e ora	Quando si è verificato l'evento	15 gennaio 2026, ore 03:42:00	Definisce i modelli temporali e il ritmo operativo
Fase	Fase della catena di attacco dell'evento	Movimento laterale	Collega il modello Diamond all'analisi sequenziale
Risultato	Risultato dell'evento	Credenziali raccolte	Tiene traccia dei progressi compiuti dall'avversario nel raggiungimento degli obiettivi
Direzione	Da avversario a vittima o da vittima ad avversario	Segnalatore C2 in entrata	Chiarisce il flusso di comunicazione per il rilevamento
Metodologia	Categoria di attività	Spear phishing	Raggruppa gli eventi in base alle tecniche operative per il clustering
Risorse	Risorse necessarie per l'esecuzione	Zero-day , accesso VPN	Valuta gli investimenti e il livello di sofisticazione dell'avversario

Multithreading delle attività e gruppi di attività

Gli eventi "diamante" raramente si verificano in modo isolato. Il "threading" delle attività collega cronologicamente gli eventi correlati, utilizzando le fasi della kill chain per ordinarli in una narrazione coerente. Un singolo thread può tracciare il percorso dall'accesso iniziale, passando per il movimento laterale, fino all'esfiltrazione dei dati: ogni fase è rappresentata come un evento "diamante" a sé stante, collegato agli altri da caratteristiche comuni.

I gruppi di attività approfondiscono ulteriormente questo approccio raggruppando più filoni di attività che condividono caratteristiche relative all'autore dell'attacco, alle capacità o all'infrastruttura. Quando diversi filoni puntano alla stessa infrastruttura C2 o utilizzano la stessa backdoor personalizzata, gli analisti possono raggrupparli in una campagna attribuibile a un unico autore dell'attacco. Ciò consente di estendere il Modello Diamond dall'analisi di singoli eventi all'intelligence a livello di campagna.

Confronto tra modelli: Modello Diamond vs Cyber Kill Chain vs MITRE ATT&CK

Il Modello Diamond non sostituisce gli altri modelli, ma li integra. Capire in quali ambiti ciascun modello eccelle aiuta gli analisti a scegliere l'approccio più adatto al problema da affrontare.

Tabella: Confronto tra i tre principali framework di intelligence sulle minacce.

Struttura	Messa a fuoco	Forza	Ideale per
Modello Diamond	Relazionale (chi, cosa, dove, contro chi)	Collegare elementi e orientarsi tra incognite	Attribuzione, mappatura delle campagne, profilazione degli autori delle minacce
Catena di attacco informatico	Temporale (fasi sequenziali)	Individuare l'evoluzione degli attacchi e le lacune nella difesa	Ricostruzione della cronologia degli eventi, analisi delle lacune nella difesa
MITRE ATT&CK	Comportamentali (TTP specifiche)	Catalogazione tecnica granulare con indicazioni per il rilevamento	Ingegneria della rilevazione, difesa basata sulla conoscenza delle minacce, red teaming

MITRE ATT&CK comprende ora 216 tecniche, 475 sottotecniche e 172 gruppi monitorati, il che lo rende il framework più dettagliato. Tuttavia, la granularità da sola non basta a rivelare le relazioni. La dimensione "avversario" del Modello a Diamante corrisponde ai gruppi di ATT&CK, mentre la dimensione "capacità" corrisponde alle tecniche di ATT&CK, creando così un punto di integrazione naturale.

Utilizzare tutti e tre i framework insieme

Si consideri un phishing campagna rivolta a un istituto finanziario. La catena di uccisione elenca le fasi: ricognizione, armamento, lancio, sfruttamento, installazione, comando e controllo, azioni sugli obiettivi. Il Modello Diamond illustra la struttura relazionale all'interno di ciascuna fase: l'autore dell'attacco (gruppo di Stati-nazione), la capacità (caricatore personalizzato), l'infrastruttura (siti WordPress compromessi) e la vittima (dipartimento di tesoreria della banca). ATT&CK fornisce il ID delle tecniche granulari — T1566.001 perphishing , T1059.001 per l'esecuzione in PowerShell, T1071.001 per il protocollo web C2.

Insieme, questi tre modelli offrono agli analisti un quadro completo: cosa è successo (ATT&CK), in quale ordine (kill chain) e chi era collegato a cosa (Diamond Model).

Applicazione del modello Diamond a un incidente

Il vero valore del Modello Diamond emerge nell'analisi strutturata degli incidenti. Ecco un flusso di lavoro in sei fasi che trasforma un singolo indicatore in un quadro completo delle minacce.

Identifica l'evento di intrusione. Parti da un avviso confermato: un dominio sospetto, un malware o un accesso anomalo. Questo è il tuo indicatore iniziale.
Inserisci le caratteristiche note. Inserisci le informazioni di cui disponi nel rombo. malware va inserito nel vertice "capacità". Un dominio C2 va inserito nel vertice "infrastruttura". Assegna la vittima in base al sistema colpito.
Esplora i collegamenti. Utilizza le informazioni note per scoprire quelle sconosciute. Interroga le piattaforme di intelligence sulle minacce per individuare altri domini ospitati sullo stesso indirizzo IP (da infrastruttura a infrastruttura). Cerca altri campioni che si connettono allo stesso C2 (da funzionalità a infrastruttura). È qui che il Modello a Diamante dimostra il suo valore.
Aggiungere metadati. Registrare la data e l'ora, determinare la fase della catena di attacco, annotare il risultato (successo o fallimento) e valutare la motivazione socio-politica, se nota.
Collega gli eventi correlati. Collega questo evento chiave agli eventi precedenti e successivi che presentano caratteristiche comuni. Costruisci la narrazione cronologica.
Thread di attività di gruppo. Quando più thread condividono le stesse firme degli autori degli attacchi, la stessa infrastruttura o le stesse capacità specifiche, raggruppali in un gruppo di attività: questa sarà la tua attribuzione delle campagne emergenti.

Procedura dettagliata per l'analisi del modello Diamond. — *Schema: Flusso di lavoro dettagliato per l'analisi del Modello a Diamante.*

Tecniche di pivoting per l'individuazione delle caratteristiche

Il pivoting è il motore analitico del Modello a Diamante. Inizia dall'indicatore più significativo e analizza sistematicamente i collegamenti. Se disponi di un dominio (infrastruttura), controlla il DNS passivo per verificare la cronologia degli indirizzi IP, quindi verifica tali indirizzi IP in relazione ad altri domini. Incrocia i domini con i feed di threat hunting. Ogni operazione di pivoting genera nuove caratteristiche e spesso rivela ulteriori eventi da collegare.

La disciplina fondamentale è la documentazione. Ogni cambiamento di strategia deve essere registrato, in modo che l'analisi sia riproducibile e possa essere condivisa con altri analisti durante la gestione degli incidenti.

Il modello Diamond nella pratica

Caso di studio: ToyMaker e il ransomware Cactus (2025)

L'analisi di Cisco Talos su ToyMaker, un broker di accesso iniziale, illustra sia il modello Diamond di base sia il suo livello di relazione esteso.

Attori malintenzionati: ToyMaker (broker di accesso iniziale, con motivazioni economiche) e Cactus (operatoredi ransomware )
Funzionalità: backdoor LAGTOY, strumenti per il furto di credenziali, ransomware a doppia estorsione
Infrastruttura: sistemi esposti a Internet compromessi, infrastruttura C2 dedicata
Vittime: organizzazioni con applicazioni rivolte al pubblico vulnerabili
Livello delle relazioni: "Passaggio da" ToyMaker a Cactus circa un mese dopo l'accesso iniziale

Questo caso illustra chiaramente perché fosse necessario ampliare il tradizionale modello a quattro livelli. ToyMaker e Cactus sono avversari distinti con funzionalità separate, ma è proprio il passaggio di consegne tra loro — ovvero la relazione — a rendere pericolosa la campagna. La metodologia del Modello Diamond esteso di Cisco Talos aggiunge questo quinto livello, denominato «Livello di relazione», per cogliere le dinamiche del ransomware as a service.

Caso di studio: l'attacco alla catena di approvvigionamento di SolarWinds

La violazione di SolarWinds rimane uno dei casi di studio più citati del Modello Diamond, analizzato in un articolo sottoposto a revisione tra pari su ResearchGate.

Avversario: SVR russo (APT29/Cozy Bear)
Funzionalità: backdoor SUNBURST incorporata negli aggiornamenti di SolarWinds Orion
Infrastruttura: distribuzione compromessa della catena di approvvigionamento del software, domini C2 dedicati
Vittime: oltre 200 organizzazioni, tra cui agenzie governative statunitensi

L'approccio relazionale del Modello Diamond si è rivelato più adeguato rispetto alla catena di attacco lineare in questo caso, in cui la presenza di diverse categorie di vittime e una catena di approvvigionamento complessa richiedevano di mappare le connessioni piuttosto che le sequenze.

Tabella: Il modello Diamond applicato a casi reali di intrusione.

Caso	Avversario	Capacità	Infrastrutture	Vittima
ToyMaker/Cactus (2025)	ToyMaker IAB + Cactus RaaS	Backdoor LAGTOY, doppia estorsione	Applicazioni rivolte al pubblico compromesse, server C2	Organizzazioni con sistemi esposti a Internet vulnerabili
SolarWinds (2020)	APT29 (Servizio di intelligence esterno russo)	Backdoor SUNBURST	Catena di approvvigionamento degli aggiornamenti di Orion compromessa	Oltre 200 organizzazioni, tra cui il governo degli Stati Uniti

Secondo l'IBM X-Force 2026 Threat Intelligence Index, nel 2025 il numero di gruppi di ransomware attivi è aumentato del 49% (109 gruppi distinti, rispetto ai 73 del 2024), con 54-58 gruppi attivi al mese all'inizio del 2026. Questa frammentazione dell'ecosistema rende fondamentale l'analisi delle attività prevista dal Modello Diamond per distinguere e monitorare i gruppi in espansione.

Strumenti e software per l'implementazione del Modello Diamond

Diverse piattaforme supportano i flussi di lavoro basati sul Diamond Model. ThreatConnect — co-fondata da Andy Pendergast, coautore del Diamond Model — integra nativamente questo framework. MISP e OpenCTI offrono alternative open source con funzionalità di modellazione delle relazioni tra entità. Nei team più piccoli continuano a essere diffusi fogli di calcolo personalizzati e modelli di diagrammi. L'integrazione con gli standard STIX/TAXII consente la condivisione automatizzata delle informazioni sulle minacce utilizzando le strutture del Diamond Model.

Vantaggi e limiti del Modello Diamond

Tabella: Punti di forza e limiti del modello Diamond per i team di intelligence sulle minacce.

Vantaggi	Limitazioni
L'analisi relazionale strutturata consente un'elaborazione sistematica dei dati	La semplificazione in quattro caratteristiche potrebbe tralasciare alcune sfumature nelle intrusioni complesse
Indipendente dai fornitori e complementare ad altri framework	Le difficoltà relative all'attribuzione permangono, soprattutto nel caso delle operazioni sotto falsa bandiera
Il threading delle attività spazia dagli eventi alle campagne	Richiede competenze avanzate nella raccolta e nell'analisi dei dati
Supporta l'analisi parziale (i diamanti incompleti mantengono comunque il loro valore)	Istantanea statica per evento senza estensione del threading
Un vocabolario comune migliora la comunicazione all'interno del team	Richiede molte risorse per i team più piccoli che non dispongono di sistemi di automazione

Le fonti non sono concordi sul fatto che la semplicità del Modello a Diamante rappresenti un punto di forza o un limite. ThreatConnect lo considera uno strumento che consente un'analisi rapida. Altri sostengono invece che semplifichi eccessivamente le intrusioni. Il consenso tra i professionisti risolve la questione combinando il Modello a Diamante con MITRE ATT&CK approfondire le TTP, preservando la chiarezza relazionale e aggiungendo al contempo dettagli comportamentali granulari. Questo approccio combinato rafforza i flussi di lavoro relativi al rilevamento delle minacce in tutto il SOC.

Tendenze future e considerazioni emergenti

Il Modello Diamond non è statico. Diversi sviluppi nei prossimi 12-24 mesi influenzeranno il modo in cui le organizzazioni lo applicheranno.

L'evoluzione più significativa è rappresentata dal Cisco Talos Relationship Layer, pubblicato nel maggio 2025. Grazie all'aggiunta di tipi di relazione quali "acquistato da", "trasferito da" e "divulgato da", questa estensione affronta la crescente complessità degli ecosistemi del ransomware-as-a-service, in cui più malintenzionati collaborano nell'ambito di un'unica campagna. È prevedibile che altri fornitori di informazioni sulle minacce adottino estensioni simili, man mano che le operazioni condotte da più attori diventeranno la norma.

L'intelligence sulle minacce potenziata dall'intelligenza artificiale sta accelerando i flussi di lavoro del Diamond Model. La correlazione automatizzata delle entità, il pivoting e il tracciamento delle attività su grandi insiemi di dati riducono il carico di lavoro manuale a carico degli analisti. Secondo il " CyberProof 2026 Global Threat Intelligence Report", l'intelligenza artificiale è ormai integrata nell'80% delle campagne di ransomware: ciò significa che gli addetti alla sicurezza hanno bisogno di strumenti di analisi assistiti dall'intelligenza artificiale per stare al passo.

La tendenza alla "presenza silenziosa" individuata nel Picus Red Report 2026 — caratterizzata da un calo del 38% dei casi di crittografia da ransomware e da un aumento dell'80% delle tecniche di elusione — accentua l'importanza dell'approccio relazionale. Quando gli aggressori puntano a mantenere l'invisibilità a lungo termine piuttosto che a causare un'interruzione immediata, le correlazioni tra capacità e infrastruttura del Modello Diamond diventano fondamentali per il rilevamento.

Anche il consolidamento delle piattaforme sta favorendo l'adozione di queste soluzioni. Secondo Recorded Future, l'81% dei professionisti della sicurezza prevede di consolidare i fornitori di informazioni sulle minacce entro il 2026. Strutture organizzate come il Modello Diamond forniscono un vocabolario analitico comune a tutte le piattaforme unificate, rendendo il consolidamento più efficace.

Le organizzazioni dovrebbero dare priorità agli investimenti nella formazione sul Modello Diamond e MITRE ATT&CK, adottando piattaforme che supportino l'analisi relazionale delle minacce e integrando il tracciamento delle attività nei propri manuali operativi standard dei SOC.

Approcci moderni all'analisi delle informazioni sulle minacce

L'intelligence sulle minacce si è evoluta ben oltre i semplici feed statici di indicatori di compromissione (IOC). Oggi gli esperti del settore combinano modelli strutturati con analisi comportamentali, rilevamento basato sull'intelligenza artificiale e correlazione automatizzata per stare al passo con gli avversari che condividono infrastrutture e collaborano oltre i confini organizzativi.

Il Modello a Diamante rimane fondamentale perché il suo approccio relazionale rispecchia il modo in cui funzionano effettivamente gli attacchi moderni, ovvero attraverso le connessioni tra attori, strumenti, infrastrutture e obiettivi. Poiché le piattaforme di rilevamento e risposta di rete osservano i comportamenti degli aggressori in ambienti ibridi, sono proprio gli stessi principi relazionali codificati dal Modello a Diamante a distinguere le minacce reali dal rumore di fondo.

Come Vectra AI l'analisi strutturata delle minacce

Attack Signal Intelligence Vectra AI Attack Signal Intelligence è in linea con la filosofia del Modello Diamond, incentrata sull'analisi relazionale e basata sul comportamento. Mettendo in correlazione i comportamenti degli aggressori all'interno delle reti moderne — che abbracciano ambienti cloud, di gestione delle identità, SaaS e on-premise — Vectra AI gli stessi principi relazionali codificati dal Modello Diamond. Collegando tra loro le azioni, le capacità e l'infrastruttura degli avversari, fornisce segnali, e non rumore, agli analisti che ne hanno maggiormente bisogno.

Conclusione

Il modello Diamond per l'analisi delle intrusioni offre un approccio strutturato e basato sulle relazioni per comprendere le intrusioni informatiche, che integra i modelli sequenziali e comportamentali. Le sue quattro caratteristiche principali, i sette assiomi e le funzionalità di tracciamento delle attività forniscono agli analisti di ogni livello — dai candidati alla certificazione ai professionisti senior nel campo della threat intelligence — una metodologia rigorosa per trasformare indicatori isolati in informazioni interconnesse.

Man mano che il panorama delle minacce diventa più complesso, con gli ecosistemi del ransomware che si frammentano in decine di gruppi che collaborano tra loro e gli autori delle minacce che privilegiano la furtività rispetto alla distruzione, l'analisi relazionale del Modello Diamond acquista sempre più valore, anziché perderlo. L'estensione "Relationship Layer" di Cisco Talos del 2025 dimostra che il quadro di riferimento continua ad evolversi di pari passo con il panorama delle minacce.

Inizia applicando il flusso di lavoro in sei fasi al tuo prossimo incidente. Inserisci le informazioni di cui disponi, esplora i collegamenti e lascia che le relazioni ti guidino verso ciò che ancora non conosci. Per le organizzazioni che desiderano implementare questi principi su larga scala, scopri come la piattaforma Vectra AI offra la stessa analisi relazionale e basata sul comportamento attraverso Attack Signal Intelligence.

Nozioni fondamentali relative alla sicurezza informatica

Domande frequenti

Che cos'è il modello Diamond dell'analisi delle intrusioni?

Il Modello a Diamante è un quadro di riferimento per la sicurezza informatica ideato da Sergio Caltagirone, Andrew Pendergast e Christopher Betz nel 2013. Esso rappresenta ogni evento di intrusione come quattro elementi interconnessi — aggressore, capacità, infrastruttura e vittima — disposti a forma di diamante. Il modello consente un'analisi strutturata delle minacce basata sulle relazioni, concentrandosi su come queste caratteristiche si collegano attraverso sei bordi bidirezionali. A differenza dei modelli sequenziali, il Modello Diamond cattura la struttura relazionale di un'intrusione, consentendo agli analisti di passare da indicatori noti alla scoperta di caratteristiche sconosciute. È pubblicato dal Defense Technical Information Center e rimane uno dei modelli più ampiamente insegnati nella formazione sulla sicurezza informatica.

Quali sono i quattro elementi del Modello a Diamante?

Le quattro componenti sono: l'autore dell'attacco (l'attore o il gruppo responsabile della minaccia), le capacità (gli strumenti, le tecniche e malware ), l'infrastruttura (le risorse quali server C2, domini e indirizzi e-mail che supportano l'operazione) e la vittima (l'organizzazione, il sistema, la persona o il set di dati preso di mira). Queste caratteristiche sono collegate tra loro tramite sei collegamenti che consentono di effettuare analisi incrociate. Ad esempio, conoscere un dominio C2 (infrastruttura) consente a un analista di scoprire quale malware con esso (capacità) e chi lo gestisce (avversario). Le quattro caratteristiche sono il minimo necessario per descrivere qualsiasi evento di intrusione, sebbene le meta-caratteristiche aggiungano profondità contestuale.

In che modo il Modello Diamond si differenzia dalla cyber kill chain?

La "cyber kill chain" descrive le fasi sequenziali di un attacco — dalla ricognizione alle azioni sugli obiettivi — fornendo una visione temporale. Il Modello a Diamante mappa le connessioni relazionali tra un avversario, le sue capacità, l’infrastruttura e la vittima all’interno di ciascuna fase. Mentre la kill chain risponde alla domanda “cosa è successo e in quale ordine”, il Modello a Diamante risponde a “chi si è collegato a cosa e in che modo”. Si tratta di modelli complementari. Il threading delle attività nel Modello a Diamante utilizza effettivamente le fasi della kill chain per ordinare cronologicamente i singoli eventi del diamante, creando un punto di integrazione naturale tra i due.

In cosa consiste il Modello Diamond rispetto al MITRE ATT&CK?

MITRE ATT&CK tattiche, tecniche e procedure specifiche degli aggressori con dettagli comportamentali granulari. Il Modello a Diamante mappa la struttura relazionale di un'intrusione a un livello più alto. Le tecniche ATT&CK corrispondono direttamente alla caratteristica "capacità" del Modello a Diamante, mentre i gruppi di minaccia ATT&CK corrispondono alla caratteristica "aggressore". La maggior parte dei professionisti utilizza entrambi insieme: il Modello Diamond fornisce l'impalcatura relazionale, mentre ATT&CK ne completa le specifiche comportamentali. Ad esempio, un'analisi del Modello Diamond potrebbe identificare che un avversario ha utilizzato strumenti basati su PowerShell, e ATT&CK restringe tale identificazione a una tecnica specifica T1059.001 con le relative strategie di rilevamento.

Quali sono i sette assiomi del Modello Diamante?

I sette assiomi costituiscono il fondamento teorico formale del quadro di riferimento. Essi stabiliscono che ogni evento di intrusione comporta l’utilizzo, da parte di un avversario, di una capacità sull’infrastruttura contro una vittima (Assioma 1), che gli eventi seguono una sequenza ordinata (Assioma 2), che le capacità e l’infrastruttura hanno una direzionalità (Assioma 3) e che un evento descritto in modo completo soddisfa tutte e quattro le caratteristiche (Assioma 4). Gli assiomi da 5 a 7 riguardano i profili degli avversari, la completezza delle capacità e il riutilizzo dell'infrastruttura. L'assioma 7 — secondo cui l'infrastruttura è condivisa e riutilizzata — è senza dubbio il più prezioso dal punto di vista pratico, poiché consente agli analisti di collegare intrusioni apparentemente non correlate attraverso server o domini C2 condivisi.

Quali certificazioni sono previste dal Modello Diamond?

Il Modello Diamond è trattato nei corsi CompTIA Security+ (SY0-701, Dominio 4.2), CompTIA CySA+ (CS0-003) ed EC-Council CEH. È presente anche nelle aule di formazione TryHackMe SOC Livello 1 e nei corsi di preparazione alle certificazioni su LinkedIn Learning. Sergio Caltagirone, uno degli autori originali, offre un corso dedicato al Modello Diamond tramite la Threat Intelligence Academy. Per gli analisti che si preparano agli esami di certificazione, la comprensione delle quattro componenti principali, delle loro relazioni e di come il Modello Diamond si rapporta alla kill chain e all'ATT&CK sono le aree più comunemente oggetto di verifica.

Quali strumenti supportano l'analisi del Modello Diamond?

ThreatConnect — co-fondata da Andy Pendergast, coautore del Diamond Model — integra nativamente il framework nella propria piattaforma di intelligence sulle minacce. MISP (Malware Sharing Platform) e OpenCTI offrono alternative open source dotate di funzionalità di modellazione delle relazioni tra entità. Molti team utilizzano anche modelli di fogli di calcolo personalizzati o strumenti di diagrammazione come draw.io per analisi su scala ridotta. L'integrazione con gli standard STIX (Structured Threat Information Expression) e TAXII (Trusted Automated Exchange of Indicator Information) consente la condivisione automatizzata di informazioni strutturate secondo il Diamond Model tra organizzazioni e piattaforme.