十階段：Meta提出殺傷鏈新理論

Facebook母公司Meta官宣新殺傷鏈模型，稱該模型包含10個階段，比現有一系列殺傷鏈模型都更具包容性和有效性。

網絡安全理論研究人員長期以來一直試圖了解攻擊的各個階段。想法很簡單：如果能識別攻擊過程中的某個階段，就更能中斷攻擊和保護自己的資產。

這種想法促成了殺傷鏈模型的誕生。殺傷鏈就是攻擊過程各個不同階段的順序列表。最初的殺傷鏈，同時也是最具標志性的殺傷鏈，是洛克希德·馬丁公司在2011年推出的入侵殺傷鏈。該殺傷鏈將攻擊劃分為七個階段進行分析。洛克希德·馬丁將此殺傷鏈描述為“瞄準對手并與之交火的一個系統性過程，目的是取得所需的效果”。之所以稱之為“鏈”，是因為只要能削弱或降級其中一環，就可以中斷攻擊過程。

洛克希德·馬丁公司的原始入侵殺傷鏈

多年來，很多研究人員都嘗試定義更好、更有效的殺傷鏈。但結果最終都不太令人滿意。問題的癥結在于攻擊者和殺傷鏈之間不同步：總有很多不同攻擊者在用很多不同方法攻擊很多不同目標，有時候會有很多往往各自為戰的響應團隊，而殺傷鏈就一條……

因此，無論防御者采用哪條殺傷鏈，都無法隨時隨地完全反映所有的攻擊。他們很難在殺傷鏈中找出正確的一環加以破壞。

Meta的Ben Nimmo和Eric Hutchins就此問題發表了一篇題為《基于階段的在線行動戰術分析》的論文。Nimmo是Meta全球威脅情報主管。Hutchins是Meta影響力行動團隊的調查人員，之前在洛克希德·馬丁公司工作，與人合著了關于原始入侵殺傷鏈的白皮書。

在線行動殺傷鏈

Meta的方法設想：盡管攻擊本質上不同步，但仍存在一些可供利用的共性，尤其是在可從遭攻擊的平臺或硬件抽取出這些共性的情況下。對Meta而言，關鍵在于攻擊中的人為因素。

Meta殺傷鏈的形成遵循了六項指導原則：“基于觀察”（不是為了追蹤假設，比如假設的戰略目標）；“面向戰術”（用于戰術分析，而非有機社會運動）；“平臺無關”（從社交媒體到小型網站和電子郵件提供商等所有平臺都適用）；“針對人對人的行動進行了優化”（可應用于機器對機器攻擊，但并非主要為此設計）；“可用于一個或多個平臺”（包括單平臺和多平臺）；“模塊化”（不是每個攻擊者都會走完整個殺傷鏈的每個階段）。

白皮書中寫道，Meta殺傷鏈“提供的分析框架旨在應用于廣泛的在線行動，尤其是針對人員的那些。其中包括但不限于：網絡攻擊、影響力行動、在線欺詐、人口販賣和恐怖分子招募。”

該框架也可為許多防御者所用，比如企業安全團隊、獨立研究員和執法機構。往小了說，安全團隊可能包含實際上各自為戰的多個響應小組。每個防御者都擅長發現整個殺傷鏈上的不同環節，但未必會將所有環節都整合進一個可觀測鏈。Meta提供了具有一致分類的完整殺傷鏈，并鼓勵不同利益相關者共享數據（在隱私限制范圍內），認為這樣一來網絡防御者就能更加了解攻擊、活動、攻擊組織和攻擊目的，更善于瓦解這些攻擊。

因此，Meta殺傷鏈包含的階段（十個）比最初的入侵殺傷鏈（七個）要多。比如說，洛克希德·馬丁殺傷鏈的偵察階段之前就引入了兩個新的階段：獲取資產和偽裝資產。相比企業安全團隊，獨立研究員、執法機構和暗網監測公司更容易檢測到這些階段，但這些階段仍然是整個攻擊鏈的一部分。

Meta殺傷鏈的十個階段包括：

1、獲取資產

2、偽裝資產

3、收集信息

4、協調和計劃

5、測試平臺防御

6、逃避檢測

7、無差別攻擊

8、針對性攻擊

9、損害資產

10、實現駐留

Meta在白皮書中以豐富的現實例子討論并闡述了該殺傷鏈的每個階段。其中用到了三起業內熟知的安全事件：DCLeaks、PeaceData和Meta在2021年拿下的反疫苗騷擾運動（也稱為“V_V”運動）。Meta用這三起安全事件演示了如何針對實際事件應用該殺傷鏈。

Meta表示：“使用這個模型，Meta的調查人員能夠分析各個行動并確定可檢測和破壞這些行動的最早時機，還可以在比目前大得多的威脅范圍內比較多個行動，從而識別行動中的常見模式和弱點。”

但Meta的眼光不局限于自身。“我們的目標是讓這個新殺傷鏈框架能夠為行業、社會和政府的不同調查團隊所用，用來根據通用的分類法共享和比較他們對行動及其背后威脅的認知，各自更加深入了解每個威脅，獲得更好的機會檢測并破壞威脅。”