信息参考
公众号:认知认知
【虚假信息】虚假信息攻防策略大全!11大领域68项战术策略清单
北约应对混合威胁卓越中心“虚假信息金字塔”模型,DISARM信息攻防框架
背景
2022年11月,由北约和欧盟联合设立的应对混合威胁卓越中心发布报告《外国信息操纵和干扰防御标准:通用语言和“DISARM”框架快速采用测试》(Foreign information manipulation and interference defence standards: Test for rapid adoption of the common language and framework ‘DISARM’)。
北约基于舆论战、信息战威胁的现状,提出虚假信息分析与风险管理”(DISARM)框架,并已成功部署于欧盟、北约、联合国等全球机构,用于识别和记录整个安全界的虚假信息攻击。
同时,报告还介绍了DISARM框架在信息攻防具体行动中的策略,进一步展示了认知域在混合战中的重要地位。
最后,报告基于Ghostwriter进行案例研究并评估该框架情况。
创建通用方法描述跨群体虚假信息行为。面对愈演愈烈的舆论战、信息战威胁,北约提出需要以统一、简洁的方式描述跨群体的虚假信息行为,创建一种通用的方法来识别和记录虚假信息活动,既可提取出数据中的宝贵信息,还可根据情报采取统一行动。
“虚假信息分析与风险管理”(DISARM)是一种开源的虚假信息策略、技术和程序库,同时包含应对敌方攻击的策略措施。该框架将主要利用信息安全原则和实践,有助于提高抵御和打击外国信息操纵和干扰活动(特别是敌方虚假信息活动)的能力。
DISARM框架不仅涵盖应对虚假信息,还包括:
-
影响力行动(influence operations,IO)
-
信息操纵和干扰(information manipulation and interference,IMI)
-
关注外国“IMI”(FIMI)
-
错误/虚假/恶意信息(mis/dis/mal-information,MDM)
-
信息紊乱(Information Disorder)等概念以及其他术语和领域
虚假信息攻防策略11大类别。为了建设与丰富DISARM框架的内涵,ADTAC网络安全公司提出了一系列虚假信息攻防策略,共涉及以下11个部分:
1. 战略规划(Strategic Planning)
2. 目标规划(Objective Planning)
3. 鼓动人群(Develop People)
4. 组建网络(Develop Networks)
5. 微观瞄准(Microtargeting)
6. 开发内容(Develop content)
7. 选举渠道(Channel Selection)
8. 刺激手段(pump priming)
9. 宣传(Exposure)
10. 线下活动(Go Physical)
11. 持续维持(Persistence)
上述11大类可细化为68种战术策略,共分为两种类型:
一种编号以T000开头,共计61个,目前已正式纳入到DISARM策略库中;
一种编号以ADT00开头,是会议相关讨论的结果,共计7个,目前尚未纳入到DISARM策略库中,但具备未来纳入到DISARM中的潜力。
虚假信息金字塔
“虚假信息金字塔”的四个层级
-
战役(Campaign):北约面临的高级持续威胁主要为民族国家行为者利用信息开展的操纵和干扰,具有其长期目标。它们通常由多个事件组成。
-
事件(Incidents):具有特定目标的短期信息操纵和干扰活动,例如改变人们的信仰、情绪或行为。突发事件可能是机会主义的,由个人、团体和组织造成。
-
述事(Narrative):为塑造信仰、情感以及目标个人和群体的行为而讲述的故事。
-
人为活动(Artifacts):恶意行为者用来创建述事和事件的消息、图像、帐户、关系和群组。人为活动在每次事件中都是可被发现的,通常数量很大,这是数据科学家和其他数据专家通常针对工作的层级。
信息金字塔将促进信息安全团体评估面临的问题到实施有效防御全面协同合作。
虚假信息金字的两个视角
虚假信息的创造者(攻击者),其视角从上到下看整个金字塔;
虚假信息的回应者(保卫者),其视角从下到上看整个金字塔。
技术基础
-
ATT&CK框架设计。DISARM将基于MITRE公司的 ATT&CK框架设计,旨在与现有语言和序列化格式(如用于交换网络威胁情报的结构化威胁信息表达式STIX)协同工作。
-
STIX:STIX使信息安全组织能够以一致和机器可读的方式相互共享网络威胁情报,使安全社区能够更好地了解他们最有可能面临的基于计算机的攻击行为,并能够更快、更有效地预测和/或应对这些攻击。
-
TAXII协议:构建共享威胁情报的传输机制。STIX使用可信自动情报交换(TAXII)作为“共享网络威胁情报的传输机制”。TAXII是一种协议,通过定义与通用共享模型一致的应用程序编程接口(API),可以通过HTTPS共享网络威胁信息。
对抗框架
北约给出了两个战术、技术和程序(TTP)框架,分别为进攻框架(红色)和防御框架(蓝色),分别在“计划、准备、执行、评估”四个阶段对虚假信息行动进行了全面论述。
框架中“对象”(objects)的各个框分别代表:
- 战术阶段(在DISARM中具体指事件中的步骤);
- 技术(在DISARM中具体指每个战术阶段的活动)。
对象(object)不仅构成了DISARM框架的组成部分,而且还能够制定进攻和防御战略。
原文始发于微信公众号(CTIO威胁观测):【认知ATT&CK】虚假信息分析与风险管理(DISARM)框架
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论