Buscar una fórmula y parámetros para alimentarla que ayuden a aislar las relaciones dentro de un sistema cuando se desconoce el origen y la causa de un exploit dentro de él. Aquí hay un ejemplo de un ataque en el que los vectores son desconocidos, pero hay un conocimiento de la ocurrencia del exploit: ¿Verificando que he eliminado completamente un hack de WordPress?
Si no tiene ningún rastro de lo que sucedió, solo puede hacer suposiciones sobre lo que sucedió.
La práctica estándar es identificar todas las plataformas y versiones, luego observar las bases de datos de vulnerabilidades para ver si existen debilidades en su entorno.
Luego observe todos los flujos y transformaciones de información, identificando puntos de entrada.
Los anteriores son pasos iniciales comunes para identificar vulnerabilidades, pero no entiendo lo que significa tu pregunta con respecto al aislamiento de relaciones, etc.
Espero que esto ayude.
Lea otras preguntas en las etiquetas exploit threat-modeling incident-response