DISARM Red Ретроспектива и Футроспектива

Начнём с обзора отзывов пользователей о существующей платформе DISARM (здесь она называется «DISARM v1»). Затем мы оценим, как мы учли эти отзывы при разработке обновлений, опубликованных в рамках проекта ADAC.IO (здесь она называется «DISARM v1.5»), а также оценим как успехи, так и трудности. В заключение мы представим наши планы по DISARM v2.

Подход DISARM v1

На раннем этапе проекта ADAC.IO мы собрали отзывы пользователей DISARM и заинтересованных сторон. Мы опубликовали полный отчёт о результатах (с которым можно ознакомиться здесь ), но ниже мы кратко изложили основные моменты:

Почему люди использовали DISARM

Создание смысла

Аналитики любят обращаться к этой структуре, чтобы подумать о том, какие типы поведения они могли бы ожидать в потенциальном инциденте, и разработать методы противодействия этому часто проявляемому поведению.

Обмен данными

Пользователи увидели потенциал сбора данных об инцидентах в больших масштабах с помощью DISARM, что позволяет лучше понимать субъектов угроз и облегчает обмен данными между защитниками. Пометка отчетов тегами DISARM TTP дает представление о том, что происходит в разных отчетах, а обмен данными позволяет пользователям быстрее определять, связаны ли инциденты с одной кампанией, а также отвечать на исследовательские вопросы о распространенности различных тактик.

Болевые точки пользователей

До начала и во время проекта мы собирали отзывы пользователей о том, что они хотели бы улучшить в DISARM. В целом, пользователи разделились на две категории: пользователи, испытывающие дефицит времени и желающие упростить процесс добавления тегов, и продвинутые пользователи, которым нужна более широкая и объективная платформа. Они рассказали нам:

Структура слишком сложна

Распространенным отзывом было утверждение, что фреймворк слишком сложен. Этому способствовало несколько проблем:

Запутанная структура: Структура была построена таким образом, что она последовательно проходила слева направо по этапам, которые может пройти субъект в ходе операции влияния (известной как «Цепочка убийств»), то есть начиналась с таких моментов, как планирование целей, стратегии и анализ целевой аудитории. Хотя об этом полезно думать для осмысления, аналитики почти никогда не сталкиваются с операционным планированием, что делает это введение в структуру неэффективным.

Неудовлетворительный пользовательский опыт: сайт, на котором размещался фреймворк, отдавал приоритет функциональности над формой. Это было удобно для наших технически подкованных пользователей, но неоправданно усложняло и без того сложную тему.

Неясные тактики и методы: некоторые тактики и методы было сложно понять по их названию, и их описание не объясняло их сути. Названия некоторых методов подразумевали иной смысл, чем их описание, что ещё больше усугубляло путаницу. Надёжность данных между кодировщиками крайне важна для успешного обмена данными, поэтому методы не должны допускать никаких ошибок в интерпретации.

Слишком много методов: Некоторые пользователи сообщили нам, что они перегружены размером Framework и хотели бы получить более упорядоченный набор ключевых поведений.

В структуре имеются значительные пробелы

Вопреки мнению пользователей, утверждавших, что Framework нуждается в упрощении, другие аналитики выразили обеспокоенность тем, что пробелы в Framework не позволяют им документировать критически важные аспекты обнаруженных ими кампаний.

Суждения в методах

Некоторые аналитики испытывали дискомфорт при использовании методов, содержащих оценочный язык, например, «Создание недостоверных учётных записей», поскольку не могли утверждать, что учётная запись «недостоверна», а критерии определения «недостоверности» учётной записи не были чётко определены в описании метода. Более того, включение слова «недостоверность» препятствовало документированию «достоверных» учётных записей, принадлежащих реальным людям, что приводило к искажению ложной или вводящей в заблуждение информации.

DISARM обновляется слишком медленно

Злоумышленники постоянно разрабатывают новые методы манипуляции. DISARM необходимо быстро обновлять, не только чтобы устранить существующие пробелы, но и чтобы реагировать на новые модели поведения. Чтобы DISARM стал успешным инструментом для обмена данными о FIMI, он должен уметь быстро адаптироваться к инновациям злоумышленников.

DISARM недостаточно сотрудничает с сообществом

У многих пользователей DISARM есть предложения по улучшению существующих методов, а некоторые уже разработали полные варианты методов, которые они хотели бы видеть в фреймворке. DISARM необходимо более эффективно взаимодействовать с сообществом, чтобы учесть эти отзывы.

Подход DISARM v1.5

Одной из основных целей проекта ADAC.IO было повышение совместимости между фреймворком DISARM и другими инструментами противодействия FIMI. Этот процесс начался с анализа фреймворка Meta Online Operations Kill Chain («MOOKC» — их версии фреймворка TTP), выявления поведения, которое невозможно было описать с помощью DISARM, и добавления его в фреймворк DISARM. Это повысило совместимость и закрыло пробелы в фреймворке.

Изменение философии дизайна

Проблемы с методами, которые утверждают много вещей одновременно

В методах MOOKC и DISARM поведение описывается в совокупности, выражая несколько фраз одновременно (мы называем это «агрегированными методами»). Например, метод «Создание неаутентичных учётных записей» в DISARM определяет (1) создание кем-то (2) учётной записи (3), которая используется «неаутентично». В Meta используется тот же подход — например, метод «1.5.1 Имитация новостного сайта» в MOOKC определяет (1) имитацию (2) новостного ресурса (3), размещённого на веб-сайте.

Эти агрегированные методы способствовали возникновению некоторых проблем, поднятых пользователями:

Недостающие методы: агрегированные методы связывают несколько отдельных наблюдений вместе для создания конкретного описания поведения. Это приводит к раздражающим ситуациям, когда применима большая часть метода, но не все его составляющие («Они определённо создают учётную запись, но я не могу сказать, является ли она «неаутентичной»»).

Неясные тактики и методы: также существуют противоречия в том, какие данные следует агрегировать в методах агрегации. В MOOKC иногда описывается актив, используемый для маскировки (1.5.1 Выдача себя за новостной сайт), иногда — нет (1.4.1 Выдача себя за исследователя или сотрудника аналитического центра). Из-за этой непоследовательности сложно определить, как следует документировать элементы операции по оказанию влияния.

Слишком много методов: расширение охвата с помощью агрегированных методов экспоненциально увеличит размер Фреймворка. Сосредоточение внимания только на расширении охвата персон (как представляет себя актив — журналист, новостной сайт, исследователь и т. д.) и легитимности персоны (является ли она поддельной, выдает себя за другое лицо и т. д.), если мы хотим иметь возможность документировать новый тип персоны (например, активы, выдающие себя за влиятельных лиц в сфере здравоохранения), то для каждой категории легитимности будет введена уникальная техника (например, фальшивый влиятельный человек в сфере здравоохранения, выдающий себя за влиятельного человека в сфере здравоохранения и т. д.). Следуя примеру Meta и включая информацию об используемом активе, мы еще больше расширим количество методов в фреймворке (например, поддельный аккаунт влиятельного человека в сфере здравоохранения, поддельный веб-сайт влиятельного человека в сфере здравоохранения, поддельная страница влиятельного человека в сфере здравоохранения на Facebook, выдающий себя за влиятельного человека в сфере здравоохранения и т. д.). Учитывая существующие отзывы о том, что в структуре слишком много методик, такой подход оказался нецелесообразным.

Методы, разработанные для комбинирования

Новые дополнения к системе DISARM позволят проводить индивидуальные наблюдения за потенциальным инцидентом FIMI; вместо «Поддельный аккаунт влиятельного лица в сфере здравоохранения» будут использоваться «Поддельный», «Влиятельный человек в сфере здравоохранения» и «Аккаунт». Аналитики могут использовать комбинацию методов для описания уникальной ситуации, с которой они столкнулись.

Обзор успешности обновлений v1.5

DISARM выпустил четыре обновления в рамках философии разработки версии 1.5, каждое из которых увеличивало масштаб и влияние. Работая над более масштабным пятым обновлением, мы выявили проблемы, которые потребовали очередного изменения нашего подхода. В этом разделе мы рассмотрим, что прошло успешно, а с какими трудностями мы столкнулись в обновлениях версии 1.5:

Что прошло хорошо

Эффективное устранение пробелов в структуре

Предоставление аналитикам множества уникальных методов для комбинирования было наиболее эффективным способом расширить покрытие DISARM без увеличения числа методов в фреймворке. Например, обновление v1.5.5, ориентированное на Persona, представило всего 38 новых методов, которые в совокупности обеспечивали тот же уровень покрытия, что и 176 агрегированных методов.

Факультативные суждения

Аналитики, которые не могли использовать такие методы, как «Создание неаутентичных аккаунтов» из-за включения «Неаутентичный», теперь могли просто объединить «Создание» и «Аккаунты», не оценивая подлинность персоны. Аналитики, которые могли оценить легитимность персоны, могли сделать это, добавив, например, «Выдача себя за другое лицо», «Поддельный», «Пародия» или «Подлинный».

Более ясные методы

Поскольку методы описывали только один объект за раз, их определение стало значительно проще. Чтобы ещё больше повысить ясность методов, мы представили более 300 реальных примеров использования новых методов в виде инцидентов, которые отображаются в разделе «Новые методы» фреймворка. Мы также приводим цитаты из отчётов и объясняем, как эти цитаты иллюстрируют это поведение.

С какими трудностями мы столкнулись?

В течение года команда DISARM лучше знакомилась с процессами, необходимыми для внесения изменений, и каждое обновление становилось всё масштабнее по мере того, как мы могли внедрять всё больше улучшений. Например, версия 1.5.5 представила 38 новых методов, версия 1.5.6 — 82, а ещё не выпущенное обновление версии 1.5.7 должно было добавить более 100 новых методов. По мере того, как эти обновления становились всё масштабнее, проблемы нового подхода становились всё более очевидными.

В этом разделе мы описываем проблемы, с которыми мы столкнулись, а в следующем разделе переходим к тому, как мы планируем их решать.

Структура стала еще сложнее

Запутанные названия методов: в ранних обновлениях ADAC.IO мы в первую очередь давали методам короткие названия для эффективности. В некоторых случаях это означало, что аналитикам приходилось читать описание метода, чтобы полностью понять, что он документирует.

По мере внедрения обновлений мы поняли, что аналитики предпочитают более длинные и описательные названия методов, которые доносят сообщение и не требуют перехода по ссылке для получения дополнительной информации.

Слишком много методов: даже несмотря на то, что добавление методов, которые говорят по одному за раз, было подходом, который заполнил пробелы в Framework, минимизируя при этом общее количество добавленных методов, это все равно означало множество дополнений к Framework, что было противоположно тому, чего просили некоторые люди.

Изменение существующих методов: в ранних обновлениях ADAC.IO мы внесли изменения в существующие методы, чтобы более чётко обозначить их предназначение, включая обновление их названий (с сохранением прежнего «идентификатора»). Пользователям это не понравилось; методы, которые оставляли простор для интерпретаций, были изменены для документирования более специфичного поведения, которое не всегда соответствовало интерпретации метода аналитиками (и, следовательно, тому, для чего они его документировали).

В более поздних обновлениях мы вместо этого полностью удалили и заменили все методы, которые, по нашему мнению, требовали существенных изменений, то есть отчеты, помеченные ранее существующими методами, не были затронуты.

Людям понравились агрегированные методы, и мы от них отказались: когда мы вводили новые методы, которые подразумевали только одно действие за раз, мы удаляли старые агрегированные методы, которые охватывались новыми методами. Например, метод «Создание неаутентичных учётных записей» был удалён и заменён на «Вновь созданный актив», «Сфабрикованная персона» и «Актив учётной записи». Это было сделано для того, чтобы методы в рамках были взаимоисключающими; мы не хотели, чтобы люди документировали одно и то же поведение с помощью разных методов.

Однако пользователи, которым была нужна более узкая структура основных моделей поведения, столкнулись с тем, что знакомые им методы были удалены и заменены более детализированными методами. Эти пользователи, как правило, меньше всего хотели изучать новую систему или изучать документацию, поэтому эти изменения особенно сильно повлияли на них. Это также касается пользователей, использовавших структуру для осмысления, которым нравилось просматривать агрегированные методы, чтобы лучше понять, какие модели поведения они могут встретить в кампании.

У нас есть планы относительно того, как DISARM v2 сможет более целенаправленно поддерживать агрегированные методы, что лучше для осмысления и для людей, которым нужен упорядоченный набор поведений (подробнее об этом далее в этой статье).

Комбинирование методов не было устоявшимся рабочим процессом: до обновлений ADAC.IO в DISARM были некоторые методы, которые требовалось сочетать с другими для предоставления значимой информации. Например, «Опубликовать контент» само по себе не несёт особой пользы, но в сочетании с такими методами, как «Преследование», «Стимулирование к обмену информацией» или «Приманка влиятельного лица», мы получаем более содержательное описание действия. Однако большинство элементов фреймворка представляли собой агрегированные методы, которые предоставляли полезную информацию без необходимости связывания их с другими методами; аналитики обычно не комбинировали методы в своей работе.

Чтобы решить эту проблему, DISARM пометила отчёты третьих лиц тегами и опубликовала их вместе с обновлениями, чтобы продемонстрировать применение методов в реальной жизни, а также продемонстрировать, как методы могут применяться совместно в отчётности. Однако эти отчёты с тегами отображались только внизу страниц с описанием методов, что было затруднительно (как обсуждается ниже).

При работе над обновлением 1.5.7 стало ясно, что мы не можем полагаться исключительно на отчеты с тегами DISARM как на единственную поддержку, помогающую аналитикам сочетать методы DISARM.

Трудности с доступом к обновлениям

Новый, более сложный пользовательский интерфейс: фреймворк DISARM v1 был размещён на экземпляре Herokuapp, который команда DISARM не может обновить по техническим причинам. Все обновления версии 1.5 были опубликованы в навигаторе, размещённом на Github . Навигатор предоставляет больше инструментов для навигации по фреймворку, но он сложнее в использовании для неопытных пользователей и требует слишком много кликов для запуска.

Информирование пользователей об обновлениях: Без возможности обновления экземпляра Herokuapp мы не могли легко информировать пользователей о новых обновлениях. Об этом было объявлено в блоге и ссылка на сайт, но информация не дошла до нужного количества пользователей. У DISARM нет полного списка пользователей, поэтому у нас не было эффективного способа информировать пользователей о новой платформе ( вы можете помочь нам исправить это здесь ).

Хотя мы писали подробные заметки об исправлениях, описывающие каждое обновление, и предоставляли документацию для сопоставления вновь введенных методов с удаленными , они также страдали от недостатка наглядности.

Нерешенные проблемы

Все еще запутанная структура: с появлением нового требования по объединению методов запутанная структура Фреймворка стала еще более значимой, поскольку методы на разных «фазах» операции требовалось объединять в пары.

DISARM всё ещё обновляется слишком медленно: мы выпускали обновления примерно раз в три месяца, что было недостаточно быстро. Обновления постоянно увеличивались в объёме и влиянии, но этот рост привёл к тому, что обновление версии 1.5.7 было сочтено слишком серьёзным для публикации. Вместо того, чтобы выпускать обновление, было принято решение использовать наработки версии 1.5.7 в качестве основы для нового подхода в DISARM v2.

DISARM всё ещё не очень хорошо работает с сообществом: Хотя сопоставление с Meta Online Operations Kill Chain было хорошим подходом для быстрого выявления пробелов в фреймворке и достижения цели ADAC.IO по повышению совместимости, сосредоточившись на MOOKC, мы сосредоточили работу пользователя, не использующего DISARM. Мы всё же внесли некоторые изменения, основанные на отзывах пользователей, но некоторые из них должны были быть реализованы в ещё не выпущенном обновлении v1.5.7, что вызвало разочарование пользователей. Более того, сообщество справедливо ожидало большего взаимодействия, чем просто периодические ответы на их отзывы в патче; им нужно больше совместной работы, больше общения и больше результатов.

v1.5 Резюме

Изменение нашего подхода к тому, чтобы методы наблюдали только один объект за раз, помогло решить проблемы пользователей с применением оценочных методов и помогло нам расширить охват DISARM, минимизировав при этом расширение Framework.

Однако этот подход не был лишен недостатков. Удаленные нами агрегированные методы были знакомы многим пользователям, и их отсутствие усложнило работу с фреймворком, особенно для тех, кто предпочитал более компактный, концептуальный набор поведений, а не детализированные, компонуемые компоненты. Нам нужно было найти способ по-прежнему поддерживать пользователей, которым были полезны агрегированные методы.

Подход DISARM v2

В этом разделе мы подробно расскажем о наших планах по DISARM v2 и о том, как они решают проблемы, с которыми мы столкнулись в обновлениях DISARM v1.5. Мы постоянно обращаем внимание на призывы к действию, предлагая ваши отзывы о наших планах. Мы хотим, чтобы DISARM стал лучшим инструментом для документирования и обмена данными об операциях влияния и онлайн-вреде. Вы можете воспользоваться этой формой , чтобы сообщить нам своё мнение о предлагаемых нами изменениях и о том, как мы можем помочь вам в использовании DISARM.

Подход v2 можно разбить на три основные области: улучшенные обновления , улучшенная поддержка и улучшенная структура .

Улучшенные обновления

Обновления версии 2 будут посвящены конкретным тематическим областям в рамках так называемых тематических коллекций. Коллекции могут быть посвящены вреду (например, гендерному насилию, основанному на технологиях), субъектам (например, Doppelganger, Portal Kombat, онлайн-платформы), типам пользователей DISARM (например, проверяющим факты), контрмерам (например, DSA) или темам (например, выборам). Разработка тематических коллекций включает в себя улучшение возможностей фреймворка по документированию своей области (внедрение новых методов и доработка существующих при необходимости) и создание вспомогательных материалов (подробнее в следующем разделе).

Как это решает проблемы версии 1.5

Создание тематических коллекций, ориентированных на конкретные темы, помогает решить следующие проблемы:

• DISARM по-прежнему обновляется слишком медленно: хотя все еще существуют скрытые технические проблемы, которые нам необходимо решить, чтобы сократить время между обновлениями, разработка тематических коллекций, посвященных разным темам, может вестись параллельно, что поможет нам внести больше улучшений за тот же период времени.
• DISARM всё ещё не очень хорошо работает с сообществом: сосредоточивая обновления на определённых темах, нам проще обращаться к соответствующим организациям за информацией, опытом и отзывами. Такой подход также помогает нам эффективнее взаимодействовать с членами сообщества, которые обращаются с просьбами о тактических улучшениях фреймворка через коллекцию «Сообщество пользователей DISARM».
• Информирование пользователей об обновлениях: совместная работа с участниками сообщества над разработкой обновлений, относящихся к их сфере деятельности, позволяет им быть в курсе наиболее важных для них обновлений DISARM. Вспомогательные материалы, разработанные в рамках тематической коллекции, также обеспечивают более качественную документацию изменений, чем предыдущее решение с заметками об обновлениях для каждого обновления.

Призыв к действию: Какой теме вы хотели бы посвятить обновление DISARM? Какие небольшие тактические улучшения вы хотели бы видеть в тематической коллекции сообщества пользователей DISARM?

Улучшенная поддержка

Тематические коллекции включают в себя разнообразные вспомогательные материалы, которые мы называем руководствами по DISARM. Это ресурсы, призванные упростить использование DISARM. Вот примеры различных типов руководств, которые в настоящее время находятся в разработке:

• Ключевые методы: список методов, соответствующих тематике Коллекции, помогающий аналитикам, испытывающим дефицит времени, находить необходимые им элементы в структуре множества методов.
• Краткое справочное руководство: Распространённые модели поведения, наблюдаемые в рамках данной коллекции, сопоставленные с методом DISARM. Это руководство помогает нам заполнить пробел, оставленный «совокупными методами», предлагая простой способ документирования более масштабных моделей поведения (например, усиления нарратива на недостоверном новостном сайте) с помощью парных методов DISARM и предоставляя примеры того, как эти методы можно комбинировать для документирования угрожающего поведения.
• Подробная поддержка тегов: руководства по внесению изменений в шаблоны агрегированных методов, представленные в кратком справочном руководстве, для адаптации к уникальным ситуациям, с которыми могут столкнуться аналитики. Это помогает аналитикам, чьи требования к разведке требуют более подробного документирования наблюдаемого инцидента.
• Отчёты с тегами: подборка отчётов сторонних организаций по тематике коллекции, отмеченных тегами участников команды DISARM. Эти реальные примеры использования методов помогают аналитикам понимать, что именно документирует метод, и дают больше информации о том, как сочетать методы DISARM.
• Деревья решений: пошаговое руководство по принятию решений о тегировании при столкновении с потенциальным инцидентом, рассматриваемым в рамках Коллекции. Это упрощает задачу, помогая аналитикам понять различные варианты выбора при сочетании методов для описания инцидента.

В настоящее время эти ресурсы существуют в виде документации, к которой могут обращаться аналитики. Однако они были разработаны для поддержки разработки функций на будущей цифровой платформе, на которой будет размещена платформа DISARM. Например, набор ключевых методов может быть использован для предоставления готовых фильтров платформы, позволяющих аналитикам быстро сосредоточиться на поведении, релевантном их направлению расследования, как только у нас появятся ресурсы для начала разработки необходимого технологического стека.

Как это решает проблемы версии 1.5

Подготовка вспомогательных материалов и обновлений в виде руководств DISARM помогает решить следующие проблемы:

• Объединение методов не было устоявшимся рабочим процессом: в руководствах приводится множество примеров того, как можно объединять методы DISARM для получения более подробной картины потенциальных инцидентов.
• Людям понравились агрегированные методы, и мы от них отказались: краткое справочное руководство предоставляет тот же опыт применения «агрегированных методов», который понравился аналитикам в v1 Framework, предоставляя простые способы документирования более масштабного поведения.
• Все еще запутанная структура: методические пособия предоставляют другой способ доступа к методам DISARM и извлечения из них пользы, причем менее сложный, чем непосредственное изучение полной структуры.
• DISARM всё ещё не очень хорошо работает с сообществом: можно разработать уникальные руководства для поддержки конкретной ниши, охватываемой тематической коллекцией. DISARM может работать с членами сообщества не только над улучшением возможностей фреймворка в документировании их области, но и над выявлением уникальных проблемных вопросов, которые можно решить с помощью вспомогательных материалов, специально разработанных для этой темы.

Призыв к действию: Мы хотим поддержать наших пользователей в применении платформы DISARM. Какие материалы DISARM вы бы хотели, чтобы мы разработали для достижения этой цели? Какие ресурсы вы хотели бы видеть в разработке?

Улучшенная структура

Изменение в обратной совместимости

Обновления, удаляющие методы, вызывают ряд проблем у аналитиков: потеря тех методов, с которыми они знакомы и регулярно используют, — это досадный опыт, а также может сделать недействительными отчеты, помеченные с использованием этих устаревших методов.

В обновлениях версии 1.5 мы удалили некоторые существующие методы из фреймворка, сохранив при этом возможность описывать удалённые модели поведения с помощью новых методов и создав документацию, объясняющую, как это могут делать аналитики (включая обновление отчётов с тегами с учётом новых методов). Однако труднодоступная документация оказалась недостаточным решением, особенно для организаций, которым потенциально приходилось перетегивать большой объём работы, отмеченной тегами в предыдущих версиях фреймворка. Кроме того, некоторые определения удалённых методов были неясными, и интерпретация аналитиками того, что они документировали, отличалась от предложенных нами методов.

В версии 2 мы объявим устаревшими методы, а не удалим их. Это означает, что наряду с существующим сопоставлением документации, устаревшей для новых методов, мы сделаем доступными предыдущие версии Фреймворка (включая версии до обновления v2). Это предоставит аналитикам доступ к старым методам, не размещая их вместе с их заменой в основном Фреймворке. Это означает, что инциденты, задокументированные с использованием старых методов, будут содержать ту же информацию, что и при первоначальной пометке аналитиками, без необходимости перерабатывать их при каждом обновлении DISARM.

В краткосрочной перспективе это будет достигнуто путём публикации файлов данных, используемых для создания каждой версии Framework. Наша долгосрочная цель — предоставить более удобный способ доступа к старым версиям Framework в том же пользовательском интерфейсе, что и в текущей версии Framework. Однако мы всё ещё оцениваем техническую осуществимость этой функции и отдаём ей приоритет по сравнению с другими функциями, запрашиваемыми пользователями.

Как это решает проблемы версии 1.5

• Людям понравились агрегированные методы, и мы от них отказались: в идеале люди будут чувствовать себя комфортно, применяя недавно представленные методы, однако у них останется возможность по-прежнему использовать устаревшие методы, если это лучше соответствует их рабочему процессу.

Призыв к действию: DISARM будет продолжать меняться по мере расширения и уточнения охвата известных видов угроз, а также по мере разработки новых методов распространения вредоносного контента в Интернете. Как мы можем помочь вам адаптироваться к обновлениям Рамочной программы?

Новый организационный принцип

Мы меняем способ организации Структуры, чтобы использовать описательные категории, призванные помочь нашим пользователям находить нужные им Методы, вместо того, чтобы организовывать Методы в уникальные Тактические цели в структуре Цепочки Убийств.

Некоторым нашим пользователям очень нравится, что методы организованы в рамках Kill Chain (т. е. этапов операции влияния, таких как планирование целей, исследование цели, создание повествований, установление активов, публикация и усиление контента), но другие находят это действительно запутанным (первое, что они видят, когда начинают документировать инцидент, — это оценки стратегической цели субъекта, его задач и анализ аудитории, действия, которые они редко видят), а некоторые утверждают, что, хотя жесткая структура Kill Chain работает в кибербезопасности, операции влияния гораздо более гибкие; поведение может демонстрироваться на нескольких этапах Kill Chain, и субъекты угрозы могут перемещаться вперед и назад по Kill Chain по мере развития своей операции.

Более того, в структуре «Цепочки уничтожения» поведение привязано к определённому этапу «Цепочки уничтожения», что ограничивает аналитиков в описании инцидентов. Например, поскольку «T0117: Привлечение традиционных СМИ» находится в «TA09: Доставка контента», когда аналитик наблюдает, как актив пытается привлечь традиционные СМИ, он также утверждает, что тактическая цель этого действия — предоставление контента, а не максимизация охвата (TA17: Максимизация охвата) или установление легитимности (TA16: Установление легитимности). Отделяя методы от этапов «Цепочки уничтожения», мы можем предоставить аналитикам возможность самостоятельно решать, на каком этапе «Цепочки уничтожения» происходит то или иное поведение.

Как это решает проблемы версии 1.5

• Все еще запутанная структура: эта новая структура была разработана, чтобы помочь пользователям находить то, что они ищут в большой структуре, а также продвигать задачу отделения оценок намерений субъекта от его наблюдаемого поведения.

Разделение оценок и наблюдений

Мы разделяем оценки (например, «Какова стратегическая цель субъекта?», «Кто спонсирует этого субъекта?», «На какой стадии шкалы прорыва находится этот IO?») и наблюдения (например, «Был опубликован нераскрытый дипфейк», «Учетная запись выдавала себя за журналиста», «Сеть объединила усилия для публикации небольших вариаций одного и того же текста») на различные структуры.

Такое разделение помогает нам обеспечить более логичный подход для аналитиков: когда они хотят документировать то, что видят, они используют фреймворк DISARM Red Observations Framework. Когда они хотят дополнить свои наблюдения, они используют фреймворк DISARM Red Assessments Framework.

Призыв к действию: Что вы думаете о разделении Наблюдений (то, что аналитики замечают в отношении потенциального инцидента, например, что было опубликовано или кто это опубликовал) от Оценок (то, что аналитики оценивают в отношении потенциального инцидента, например, кто за ним стоит или какова была их цель)?

Переработка терминологии

Вдохновленный фреймворком MITRE ATT&CK, фреймворк DISARM использует множество терминов из области кибербезопасности. Эти термины были полезны для быстрого «понимания» DISARM, но по мере развития фреймворка эти концепции становились всё менее применимыми к нему и, напротив, могут быстро создавать неверное впечатление.

Например, «TTP» означает «Тактика, Методы и Процедуры». Термин «DISARM TTP» часто используется для обозначения «элементов в DISARM Framework», хотя мы не поддерживаем никаких P-элементов. Ранее мы обсуждали отказ от использования Kill Chain в качестве организующей структуры для DISARM Red Framework, что позволяет аналитикам самостоятельно оценивать тактическую цель наблюдаемого поведения. Это изменение означает, что столбцы, организующие Framework, больше не будут называться «Тактикой».

Это оставило бы нам только DISARM Ts, но обозначение элементов в DISARM Red Framework как «методов» ограничивает возможности документирования. Например, аналитикам было бы полезно использовать DISARM для документирования оценки того, на какой стадии шкалы прорыва находится ИО, но «этап шкалы прорыва» не является «методом», используемым субъектами. Более того, обозначение элементов фреймворка как «методов» снова подготавливает все наблюдения аналитиков к неявной оценке того, что поведение демонстрируется как способ достижения конкретной тактической цели.

Ниже вы можете ознакомиться с нашим текущим предложением по новым соглашениям об именовании, которые заменят «DISARM Red Framework», «Методы» и «TTP»:

Существующая терминология → DISARM Red Framework: Рамка, охватывающая методы, используемые субъектами угроз в операциях влияния

Новая терминология → Рамка DISARM Red: Рамка, используемая для описания потенциальных инцидентов IO, состоящая из Рамки DISARM Red Observations и Рамки DISARM Red Assessments.
Новая терминология → Рамка DISARM Red Observations: Набор наблюдений, которые аналитики могут сделать о потенциальном инциденте IO.
Новая терминология → Рамка DISARM Red Assessments: Набор оценок, которые аналитики могут сделать о потенциальном инциденте IO.

Существующая терминология → Методы: Методы, используемые субъектами угроз для достижения тактических целей в операциях по оказанию влияния.

Новая терминология → Наблюдения: вещи, которые аналитики могут наблюдать при документировании потенциальных инцидентов IO.
Новая терминология → Оценки: оценки, которые аналитики делают в отношении субъекта, стоящего за потенциальным инцидентом IO.
Новая терминология → Агрегаты: комбинации наблюдений и оценок, которые описывают поведение, демонстрируемое субъектами угроз в операциях влияния.

Существующая терминология → TTP: тактика, методы и процедуры, используемые субъектами угроз в операциях по оказанию влияния

Новая терминология → Элементы структуры: отдельные элементы в рамках наблюдений или оценок DISARM Red

Призыв к действию: Мы понимаем, что люди любят существующую терминологию и что привыкание к смене названий может быть утомительным, но мы надеемся, что смогли объяснить, почему важно внести это изменение. Согласны ли вы с предложенными новыми терминами? Есть ли у вас какие-либо предложения по их изменению?

Предварительный обзор структуры наблюдений

Структура наблюдений DISARM Red содержит три ключевые категории верхнего уровня: «Активы», «Действия» и «Контент», каждая из которых имеет свои подкатегории, содержащие наблюдения, которые аналитики могут сделать о потенциальном инциденте. Текущая версия бета-версии второй структуры наблюдений включает следующие категории:

• Активы
  — Учетные записи, программное обеспечение и инфраструктура
  — Цифровые платформы и сообщества
  — Сведения об активах
  — Персона актива
• Действия
  — Публикация и распространение действий
  — Управление активами
  — Взаимодействие с платформой и сообществом
  — Действия офлайн
  — Действия, предпринимаемые платформами
• Контент
  — Получение контента
  — Подробности контента
  — Повествование контента
  — Действие контента

Мы считаем, что эти описательные категории помогут аналитикам лучше находить нужные наблюдения. Эта проблема неоднократно поднималась в связи с принципом организации DISARM v1. Вы можете ознакомиться с бета-версией DISARM Red Observations Framework, размещённой в DISARM Navigator, здесь , а также с экспериментальной платформой, на которой размещён прототип DISARM v2, здесь .

Как это решает проблемы версии 1.5

• Слишком много методов: разделение наблюдений и оценок уменьшает размер каждой структуры. Внедрение более доступного принципа организации структуры также облегчает поиск наблюдений и оценок, что должно снизить влияние количества пунктов структуры на удобство её использования.
• Все еще запутанная структура: разделение наблюдений и оценок помогает сортировать элементы структуры на основе их предполагаемого назначения, снижая перегрузку аналитиков.

Что дальше?

Мы изложили наш план для DISARM v2 и объяснили, почему, по нашему мнению, он лучше DISARM v1 и v1.5. В этом разделе мы обсудим дальнейшую реализацию этого плана.

Разработка DISARM v2

Работа над подготовкой DISARM v2 к выпуску продолжается. Мы готовим основную платформу наблюдений и оценок v2, а также серию тематических коллекций для публикации вместе с ней, включая коллекцию «Гендерное насилие с использованием технологий», коллекцию «Проверка фактов» и коллекцию «Portal Kombat».

Тем временем вы можете использовать эту форму , чтобы сообщить нам, что хотите получать уведомления о выпуске DISARM v2, а также оставить отзыв обо всём, что вы прочитали здесь (или об улучшениях, которые вы хотели бы видеть в Framework). Мы хотим, чтобы DISARM стал лучшим инструментом для документирования операций влияния и онлайн-вреда, и нам хотелось бы узнать ваше мнение о том, как мы можем этого добиться.

Развертывание DISARM v2

В планах DISARM v2, описанных выше, все еще остаются нерешенными некоторые проблемы.

Новая платформа

В настоящее время DISARM использует технологию с открытым исходным кодом, разработанную MITRE ATT&CK, для реализации DISARM Red Framework. Это было экономически эффективное решение, которое позволило нам переложить разработку на разработчиков из организации, обладающей необходимыми навыками и ресурсами (и любезно предоставившей нам возможность использовать плоды своего труда). Однако этот инструмент был разработан для высококвалифицированных специалистов по кибербезопасности, что не соответствует профилю пользователя DISARM. Кроме того, DISARM Framework уже шире MITRE ATT&CK Framework и, вероятно, будет расширяться по мере разработки новых методов злоумышленниками или появления новых технологий, открывающих новые возможности для поведения угроз. DISARM потребуется больше инструментов, чтобы помочь пользователям найти то, что они ищут, чем те, что доступны в MITRE ATT&CK Navigator.

Необходимость в специализированной платформе для доступа к DISARM Framework очевидна. Мы уже начали работу над определением требований к такой платформе, стремясь реализовать самые смелые мечты и достичь результатов при ограниченном финансировании. Эта платформа будет разработана с целью упростить использование DISARM, а также устранить многие технические сложности, с которыми мы сталкиваемся при обновлении DISARM Framework (что позволит ускорить процесс обновления).

Призыв к действию: Что бы вы хотели включить в платформу, разработанную DISARM? Есть ли функции, которые вы видели на других платформах, и которые вы хотели бы включить? Какие проблемы вам нужна помощь в решении?

Заключение

Благодарим вас за то, что вы нашли время узнать о наших планах по улучшению DISARM. Мы надеемся, что эти изменения облегчат сообществу защитников возможность сотрудничества, обмена данными и противодействия тем, кто пытается использовать манипуляции для подрыва демократии.