Facebook母公司Meta官宣新杀伤链模型，称该模型包含10个阶段，比现有一系列杀伤链模型都更具包容性和有效性。

网络安全理论研究人员长期以来一直试图了解攻击的各个阶段。想法很简单：如果能识别攻击过程中的某个阶段，就更能中断攻击和保护自己的资产。

这种想法促成了杀伤链模型的诞生。杀伤链就是攻击过程各个不同阶段的顺序列表。最初的杀伤链，同时也是最具标志性的杀伤链，是洛克希德·马丁公司在2011年推出的入侵杀伤链。该杀伤链将攻击划分为七个阶段进行分析。洛克希德·马丁将此杀伤链描述为“瞄准对手并与之交火的一个系统性过程，目的是取得所需的效果”。之所以称之为“链”，是因为只要能削弱或降级其中一环，就可以中断攻击过程。

多年来，很多研究人员都尝试定义更好、更有效的杀伤链。但结果最终都不太令人满意。问题的症结在于攻击者和杀伤链之间不同步：总有很多不同攻击者在用很多不同方法攻击很多不同目标，有时候会有很多往往各自为战的响应团队，而杀伤链就一条……

因此，无论防御者采用哪条杀伤链，都无法随时随地完全反映所有的攻击。他们很难在杀伤链中找出正确的一环加以破坏。

Meta的Ben Nimmo和Eric Hutchins就此问题发表了一篇题为《基于阶段的在线行动战术分析》的论文。Nimmo是Meta全球威胁情报主管。Hutchins是Meta影响力行动团队的调查人员，之前在洛克希德·马丁公司工作，与人合著了关于原始入侵杀伤链的白皮书。

在线行动杀伤链

Meta的方法设想：尽管攻击本质上不同步，但仍存在一些可供利用的共性，尤其是在可从遭攻击的平台或硬件抽取出这些共性的情况下。对Meta而言，关键在于攻击中的人为因素。

Meta杀伤链的形成遵循了六项指导原则：“基于观察”（不是为了追踪假设，比如假设的战略目标）；“面向战术”（用于战术分析，而非有机社会运动）；“平台无关”（从社交媒体到小型网站和电子邮件提供商等所有平台都适用）；“针对人对人的行动进行了优化”（可应用于机器对机器攻击，但并非主要为此设计）；“可用于一个或多个平台”（包括单平台和多平台）；“模块化”（不是每个攻击者都会走完整个杀伤链的每个阶段）。

白皮书中写道，Meta杀伤链“提供的分析框架旨在应用于广泛的在线行动，尤其是针对人员的那些。其中包括但不限于：网络攻击、影响力行动、在线欺诈、人口贩卖和恐怖分子招募。”

该框架也可为许多防御者所用，比如企业安全团队、独立研究员和执法机构。往小了说，安全团队可能包含实际上各自为战的多个响应小组。每个防御者都擅长发现整个杀伤链上的不同环节，但未必会将所有环节都整合进一个可观测链。Meta提供了具有一致分类的完整杀伤链，并鼓励不同利益相关者共享数据（在隐私限制范围内），认为这样一来网络防御者就能更加了解攻击、活动、攻击组织和攻击目的，更善于瓦解这些攻击。

因此，Meta杀伤链包含的阶段（十个）比最初的入侵杀伤链（七个）要多。比如说，洛克希德·马丁杀伤链的侦察阶段之前就引入了两个新的阶段：获取资产和伪装资产。相比企业安全团队，独立研究员、执法机构和暗网监测公司更容易检测到这些阶段，但这些阶段仍然是整个攻击链的一部分。

Meta杀伤链的十个阶段包括：

Meta在白皮书中以丰富的现实例子讨论并阐述了该杀伤链的每个阶段。其中用到了三起业内熟知的安全事件：DCLeaks、PeaceData和Meta在2021年拿下的反疫苗骚扰运动（也称为“V_V”运动）。Meta用这三起安全事件演示了如何针对实际事件应用该杀伤链。

Meta表示：“使用这个模型，Meta的调查人员能够分析各个行动并确定可检测和破坏这些行动的最早时机，还可以在比目前大得多的威胁范围内比较多个行动，从而识别行动中的常见模式和弱点。”

但Meta的眼光不局限于自身。“我们的目标是让这个新杀伤链框架能够为行业、社会和政府的不同调查团队所用，用来根据通用的分类法共享和比较他们对行动及其背后威胁的认知，各自更加深入了解每个威胁，获得更好的机会检测并破坏威胁。”

《基于阶段的在线行动战术分析》
https://carnegieendowment.org/2023/03/15/phase-based-tactical-analysis-of-online-operations-pub-89275

参考阅读
杀伤链已过时
Meta推出新杀伤链模型应对在线威胁