在线作战杀伤链在CTI中的应用
作者:Chad Warner
2023年11月7日 · 2分钟阅读
在线作战杀伤链旨在作为网络杀伤链的现代替代方案,以适配更广泛的网络行动类型,而不仅仅是网络攻击,例如间谍活动、影响力行动、诈骗和欺诈。
该模型适用于源与目标均为人类的行动;但也可用于源和/或目标是机器的场景。
该模型由Meta开发,于2022年11月在CYBERWARCON 2022会议上通过演讲首次提出,并于2023年3月在一篇论文中进一步描述。
在线作战杀伤链的创建者之一Eric Hutchins,也是网络杀伤链的共同创建者。
由于该模型较新,它在网络威胁情报及其他信息安全领域的普及程度仍有待观察。
在线作战杀伤链的阶段
在线作战杀伤链包含10个阶段或环节,这些是一个网络行动可能经历的各步骤。并非所有行动都包含全部阶段。
- 获取资产:获取资产或能力(例如IP地址、电子邮件地址、社交媒体账户、恶意软件、办公场所)
- 伪装资产:使虚假账户看起来真实可信
- 收集信息:手动或自动收集信息
- 协调与规划:公开或隐蔽地协调和规划,手动或自动
- 测试平台防御:发送或发布一系列具有不同程度违规的内容,观察哪些会被检测
- 规避检测:绕过防御措施
- 无差别互动:发布和互动,不针对特定受众
- 定向互动:发布和互动,针对特定受众
- 攻陷资产:接管账户或信息
- 维持长效:采取措施在被拆除后仍能存活,或在暴露后延长行动时间
在线作战杀伤链在CTI中的应用
网络威胁情报分析师可以使用在线作战杀伤链来分析单一行动,理解其TTP(战术、技术和程序),寻找弱点(即破坏该行动的方法)。
该模型还可用于比较多个行动,识别共同的模式和弱点。
分析师还可以使用该模型共享有关行动的信息,因为它为威胁行为者及其行动提供了通用的分类法。
将来自该模型的信息提供给调查人员和防御者,使他们能够更早、更有效地识别和检测行动,并改进防御措施。破坏单一环节可以扰乱行动的一部分,破坏多个环节则可以完全阻断行动。
补充资源
- 《基于阶段的在线行动战术分析》[白皮书]
- 《随着重大选举临近,Meta公开其内部在线作战杀伤链》——Meta推出新的在线作战杀伤链,用于打击选举中的在线干扰。 CSD0tFqvECLokhw9aBeRqnQFMnQWZD35+K7jMWfdZENS1XzrF0x3zGE+Q6IbSwDOTP8ZYgRJzqwPcK5h1KThaSJQ6mmqSNUX8AFnkJbxJlk=
