辛西娅·布鲁姆菲尔德 | 公民社会组织
2022年11月17日
2014年4月,洛克希德·马丁公司发布了一份题为“通过分析对手活动和入侵杀伤链获得情报驱动的计算机网络防御”的白皮书来应对网络威胁,这份文件开始改变我们对数字对手,特别是民族国家高级持续威胁(APT)组织的看法。
ⓒ 盖蒂图片银行
白皮书的作者认为 利用对手如何运作的知识
以创建一个情报反馈循环,防御者 意大利电话号码数据 可以在其中建立信息优势,从而降低对手后续入侵尝试成功的可能性。” 这个模型被称为杀伤链,“描述了入侵的每个阶段,将杀伤链指标映射到防御者的行动方针,并识别将单个入侵与更广泛的活动联系起来的模式。它有助于“理解情报收集的迭代性质,这是基于情报的计算机网络防御的基础。”
洛克希德·马丁公司的白皮书发布八年后,白皮书作者之一、现任 Meta 安全工程师调查员 Eric Hutchins 和 Meta 全球威胁情报负责人 Ben Nimmo 在最近的 Cyberwarcon 会议上发表讲话,宣布了一条新的杀伤链模型。该模型定义了“在线运营杀伤链”,这是一个打破在线运营典型孤岛的通用框架。
常见威胁分类
Meta 研究人员设计了一种常见威胁分类法,重点关注在线运营中面临的独特挑战。它有助于行业集体防御识别漏洞并更好地了解威胁环境。Nemo 在 CyberWalkon 上表示:“首要任务是弄清楚正在发生什么以及坏人在做什么。
他继续说道:建立分级制度的目的是分析 瓦解打
倒威胁行我们对威胁 数字列表 行为者了解得越多,我们就越发现他们之间的共性。同一类型的不同操作之间有共性,但不同操作之间也有共性。 我们在过去 18 个月中开发的框架使我们能够分解、绘制图表并分析 Meta 所解决的所有类型在线操作的共性。
哈钦斯表示,构思新杀伤链模型的一大挑战是确保它适用于间谍活动和信息行动各个领域的各种行动。“当然,对手不按规则行事,”他说。他提到。一个代表性的例子是 Ghostwriter 活动,它同时使用了帐户接管和妥协。被盗账户被用来针对立陶宛、拉脱维亚和波兰开展影响行动,传播对北约在东欧活动的批评观点。
新的杀伤链模型弥合了恶意情报操作和其他类型的恶意在线活动之间的差距。尼莫说:“我们将其设计为尽可能广泛地适用于所有类型的操作,链条两端都有试图实现预期效果的参与者以及他们的目标人群。”
“从根本上来说,这个模型所基于的原则是,如果你正在运营在线业务,无论你打算用它做什么,都会有一些共性。首先,您必须能够在线连接。如果您在社交媒体上运营,您将需要社交媒体帐户。这是防御者可以看到、发现、分享、解释和响应的共性。“我们希望找到共同点并创建一个单一的框架,”他补充道。
Meta的10阶段杀伤链
线上操作杀伤链由以下10个步骤组成:
收购资产。这里的资产可以是 IP 地址、电子邮件地址、电话号码、加密货币钱包或敌对势力执行其行动所需的任何其他资产。“今年早些时候,俄罗斯的一家机构证实购买了大量豆袋椅,为传教士提供舒适的座位,”尼莫说。
资产伪装。操作时考虑到互联网暴露,因此对手将资产伪装成合法资产。
侦察。收集信息时,确定正在进行操作的环境或目标。
协调和规划。监督和构建资产。
防御测试。测试你的防御能力,看看会发生什么。Nemo 指出,“技术好的对手不会在没有事先进行 A/B 测试的情况下随意扔东西并让结果靠运气来进行攻击。”
避免被发现。哈钦斯将其比作改变飞机的油漆或编号,而是低空飞行以避免被雷达探测到。例如,使用 Unicode 字符或创建一个分身网站。
乱搞。此步骤类似于将东西扔到墙上并看看什么粘住。“很多垃圾邮件活动都是通过这种方式进行的,”尼莫说。“它可能不那么复杂,但你只是把这个那个扔到周围,然后期望有人捡起来,”他说。
目标参与度。这类似于现实世界中敌人如何专注于单一目标并针对个人。
资产侵权。这是实际网络入侵发生的阶段。尼莫说:“从这里开始事情就变得严重了。扣押目标正在使用的资产。“资产泄露是一种为获取某人宝箱的钥匙而进行的操作活动,”他强调说。
确保可持续性。这是与防守者接触的第一阶段。
哈钦斯强调,这个 10 步杀伤链模型是模块化的:“并非每个操作都以相同的方式使用每个步骤。您最终可能会使用混合步骤,但这没关系。目标是识别杀伤链的所有阶段,尽早发现它们,并找到破坏的机会。“用它作为一个框架来衡量你最初行动的有效性,然后与社区分享。
