基于阶段的在线作战战术分析

工作纸 2023年3月 基于相位的战术分析在线运营 本·尼莫和埃里克·哈钦斯 基于相位的战术分析在线运营 本·尼莫和埃里克·哈钦斯 卡内基的合作伙伴关系，以对抗inuence操作是感谢由威廉和 弗洛拉·休利特基金会，克雷格·纽马克慈善基金会，约翰·S和詹姆斯·奈特基金会，微软， Meta，Google，Twitter和WhatsApp。PCIO对其产品的内容承担全部和全部责任， writtenorotherwise.Wewelcomeconversonswithnewdoners.AllwantingsaresubjecttoCarnegie’sdonerpolicyreview.Wedonotallowdonerspriorapprovalofdrafts,influenceonselectionofprojectparticipants,or对他们可能支持的定义和工作建议的任何影响。 ©2023卡内基国际和平基金会。保留所有权利。 卡内基在公共政策问题上不采取机构立场；本文所代表的观点是那些作者(S)的观点，不一定要反映卡内基、其sta或其受托人的观点。 不得以任何形式或任何方式复制或传播本出版物的任何部分卡内基国际和平基金会的书面许可。请直接询问： 卡内基国际和平基金会出版部 1779马萨诸塞州大道西北 Washington,DC20036 P:+12024837600 F:+12024831840 CarnegieEndowment.org 可在CarnegieEndowment.org上免费下载。 Contents Summary1 Introduction3 使用在线操作杀死链5 在线运营杀人链的原则8 在线运营杀死链10 附录：案例研究19 关于作者27 Notes29 卡内基国际和平基金会35 Summary 2023年的在线威胁景观的特点是前所未有的各种各样的行为者、类型行动和威胁响应团队的范围从情报机构和 巨魔农场到虐待儿童的网络。虐待的范围从黑客到诈骗，选举之间尊重骚扰。响应者包括平台信任和安全团队、政府 agencies,open-sourceresearchers,andothers.Asyet,theseresponsingentitieslackashared 模型来分析、描述、比较和破坏恶意在线操作的策略。然而，在线活动的性质-假设目标是人类-是这样的 这些滥用类型之间的显著不能共性：广泛不同的行为者可能会遵循相同的步骤链。通过对不同的违规行为进行基于阶段的分析，可以-能够在unied模型中隔离链中的链接，在该模型中断开任何单个链接可能会破坏至少部分操作，并破坏许多链接-“完成杀戮 链“-可以全面地破坏它。使用这个模型将允许调查人员分析单个操作，并确定可以检测到它们的最早时刻，以及 中断。它还将使他们能够在更广泛的范围内比较多个操作威胁比迄今为止可能的要多，以确定 Operation.Finally,itwillallowsdiifferentinvestigativeteamsacrossindustry,civilsociety,and 政府分享和比较他们对行动和威胁行为者的见解 7 6 1 2 10 9 8 5 4 3 到一个共同的分类法，让每个人更好地理解每种威胁，更好地检杀戮测链和中破的坏链它接的机会。 获取 伪装 Gathering 协调 测试平台 逃避 不分青红皂白 Targeted 妥协 启用 Assets Assets 信息 和规划 Defenses 检测 Engagement Engagement Assets 长寿 11 Introduction 各国政府,1非Prot组织，2商业公司,3学术机构,4和社交媒体平台5都投入巨资组建团队来应对一些在线环境中的滥用。与此同时，国家和国际组织- 建议已经开始着手去ne和监管在线空间，并采取了诸如 英国的在线安全法案（以前称为在线危害法案）6和欧盟修订后的守则关于虚假信息的实践7数字服务法案。8 在这些影响的基础上，研究界进行了基础工作 dene，并描述不同威胁的分类法。e网络间谍社区已经 用开创性的入侵杀戮链引领了道路，9Unied杀戮链，10theMITREATT&CK框架,11入侵分析的钻石模型，12和金字塔 优先考虑检测指标的痛苦方法。13在字段的in字段中，a 许多专家和组织提出了杀戮链，包括布鲁斯·施奈尔，14克林特·瓦特,15乔治敦大学安全与新兴技术中心，16 和信誉联盟Misinfosec工作组(AMITT和DISARM框架- 作品)。17e数字阴影光子研究团队提出了一个杀人链 收购；18Optiv有一个网络欺诈杀人链。19虽然其中许多引用了入侵 KillChain作为他们的灵感，每个都是针对特定的c违规类型而定制的，例如黑客，在uence操作或欺诈中。 esemodelsvariedinaudienceandfocus.Somearedesignedforusebyspecificcdefendors- 例如，入侵杀戮链，它为网络防御者提供了基于智能的 框架来破坏计算机利用和攻击，或瓦茨的社交媒体杀戮链， 3 它为社交媒体平台提供了一个模型，用于检测和理解 Operations.Othersarewider,suchasSchneier’sInuenceOperationsKillChain,which 针对技术平台、情报的波因效应操作提出对策建议 agencies,themedia,andeducators,amongothers.Somemodelsfocusonthreatactors’tach- Tics(AMITT：“创建虚假的社交媒体Proles/Pages/Groups”)，而其他人则专注于他们的总体战略(施奈尔：“和社会结构中的裂缝”)。所有这些都丰富了 但围是绕在，线仍运然营存和在我两们个对关威键胁差的距理。解首的先公，开由辩于论缺。乏共同的分类法和词汇来分析、描述和比较不同类型的在线 操作。20一个问题可能有很多名称：例如，在在线空间内政治干预，不同的框架指的是“虚假信息”，21“信息 操作“，22"错误信息事件"23"malinformation",24和“inuence“操作”-可能具有不同含义但通常可互换使用的术语。25 同时，一个词可以有许多含义：术语“剥削”涵盖了 在受害者的系统上执行未经授权的代码26并扩大inuence运动机器人，巨魔和“有用的白痴”27 其次，每个模型的设计主要是为了分析单个威胁活动，无论是黑客行为- ING,influenceoperations,spam,orfraud.Butonlineoperationsare无定形anddo 并不总是t整齐地变成单个违规类型。例如，称为 Ghostwriter28和来自阿塞拜疆的无关行动29那个Meta打乱了两个COM- 结合黑客和在线虚假信息。2016年，俄罗斯军事情报 结合黑客攻击、社交媒体活动、在主流上虚假人物植入文章 媒体，并通过第三方武器化泄密。30分析这些操作中的任何一个通过一个威胁特定的c框架，存在错过其他重要部分的风险他们的活动、不足和强化孤立的方法来解决不同的问题 形式的在线滥用。 我们设计了在线运营杀戮链，通过提供一个 旨在应用于广泛的在线操作的分析框架-ES- 特别是那些目标是人类的人。31ese包括但不限于，网络 attacks,influeuenceoperations,onlinefraud,humantraCNScking,andterroristrecruitment.It 我们希望为跨平台的调查人员提供一个共同的框架，在开源的社区，以及在民主机构内，将使更多的有效合作能够 分析、描述、比较和破坏在线操作。 使用在线操作杀死链 我们方法的基础是，尽管存在许多差异，但在线运营仍然 havemeaningfulcommonities.Inthemostfundamentallevel—atriskofsounding 简单化——任何在线操作都必须能够以可能的方式上网。 至少，获取IP地址和（取决于平台）可能是电子邮件地址或 用于验证阳离子目的的手机号码。如果操作运行网站，它将需要 托管、管理员和内容创建平台。如果在社交媒体上处于活动状态，则必须能够获取或创建帐户。它可能会尝试逃避平台或用户的检测 通过采用技术和视觉伪装，例如窃取专业图片或混淆 一段代码来通过防病毒扫描程序。32所有这些要求都适用于整个威胁区域，无论行动是针对间谍活动还是选举干预、性骚扰或 卖假的雷禁令. 在线运营KillChain建立在这些共性的基础上，提出了一个unied 基于阶段的框架来分析多种类型的操作。它涵盖了 Meta的威胁情报团队经常解决的滥用行为，来自网络间谍活动 andinfluenceoperationstoscams.Itisdesignedtocovermultimativelyoperationssuchas Ghostwriter或俄罗斯军方的黑客攻击和泄密行动，以及更简单的行动。尽管覆盖范围很广，但它侧重于识别威胁行为者的特定战术， 技术和程序活动。 分析师和调查人员可以在三个层面上使用杀戮链，无论他们是否在一家科技公司工作平台、开源机构或政府机构。首先，他们可以将其应用于 单个操作，并使用它对该操作的活动进行排序，nding组合允许最早检测的战术、技术和程序(TTP) 和中断。33 作为一个假设的例子，如果调查人员确定一个influence操作正在使用一个参数- 设置虚假社交媒体账户的特殊利基电子邮件域(杀链阶段：收购资产)；用使用生成对抗网络生成的Prole图片来伪装它们，或GAN，如StyleGAN2(伪装资产阶段)；然后使用这些账户 垃圾邮件链接到国家媒体网站(不分青红皂白的参与阶段)，然后他们可以确定检测电子邮件提供商和GANProle图片组合的方法的优先级，这可能有助于破坏进一步的虚假账户之前他们张贴。 其次，他们可以使用kill链比较多个操作.是可以让他们分析同一类型的两个操作之间的共性(如两个骚扰 运动)或不同类型的操作之间(如骚扰运动与 骗局)，甚至通过以下方式分析个人长期运行操作的战术变化通过比较特定威胁行为者在不同时间的行为。34反过来，可以提供必要的数据，以确定可应用于多个 同时操作。 为了继续上述假设的例子，调查小组可以检查杀人事件 链接其他操作的记录，以查看是否使用该特定利基域 orStyleGAN2imagesisarecurringpattern.IftheyndthatStyleGAN2imageshave 被网络间谍、骚扰和垃圾邮件网络使用，但利基电子邮件域 如果没有，他们可以优先考虑nding检测图像的方法，这可以使他们能够在早期阶段识别许多类型的操作。 在隐私监管的范围内，跨不同学科的研究团队 canusethekillchaintoshareandcomparetheirndingsondifferentoperations. Sinceeach 调查小组可能会看到操作的不同方面，他们可以共同建立比任何一个团队都能更好地理解。 为了进一步扩展我们的假设示例，让我们假设调查小组共享 它与科技平台中的同行进行了初始运营的杀伤链分析，法律-en- 强化机构和开源社区。通过汇集他们各自的见解根据杀戮链的共同框架，这个社区不仅可以识别 使用该特定的电子邮件域和StyleGAN2图片，以及其他远端- 令人毛骨悚然的功能，如IP地址；在社交媒体、博客和 媒体平台；和恶意软件。所有这些都可以反馈到每个团队的下方- 站在整个行动，可能使更精确和更早的检测。 是方法将使调查人员在不同的情况下，使防御更具弹性团队“完成杀戮链”：确定操作可能的多个点 检测到并中断。它还将通过允许专门的团队来增加弹性 在非