Wróć do wszystkich wpisów
Aktualności
4 minuty

Jak opisywać dezinformację? (FIMI, STIX, ABCDE framework)

Łukasz Zając

Jak opisywać dezinformację? Potrzeba wspólnego formatu danych, rozpoznawalnego systemu analizy i reakcji. Poznaj wypracowane narzędzie przez EEAS.

 

STANDARYZOWANY FORMAT DANYCH DO UDOSTĘPNIANIA INFORMACJI O ZAGROŻENIACH DEZINFORMACYJNYCH

Structured Threat Information Expression (STIX™) to format danych używany do kodowania i wymiany informacji o cyberzagrożeniach (CTI). Może być również używany do dzielenia się spostrzeżeniami na temat incydentów FIMI, poprzez rozbijanie ich na różne elementy składowe w formacie STIX.

 

„Powszechnie stosowane taksonomie są ważne, aby stworzyć wspólny język w obrębie społeczności, co ułatwia dyskusje, minimalizując jednocześnie potencjalne nieporozumienia. Jednak, aby skutecznie dzielić się spostrzeżeniami – zwłaszcza na dużą skalę – konieczny jest również wspólny format danych. Choć znacznie rzadziej omawiane, to właśnie te standardy techniczne sprawiają, że internet jest możliwy lub że dokumenty mogą być przesyłane z jednego komputera i edytowane przez inną osobę na innym komputerze. Wspólny format danych do udostępniania informacji o zagrożeniach jest podstawą dla sieciowej współpracy na dużą skalę.

wspólny format danych

Podstawowym wymogiem dla takiego standardu danych jest to, aby był on w stanie reprezentować wszystkie fundamentalne elementy (lub obiekty) zagrożenia i wyrażać, jak są one ze sobą powiązane.

Musi być również na tyle elastyczny, aby pozostawać użytecznym, gdy zagrożenie ewoluuje, ale na tyle stabilny, aby umożliwiać adaptację procesów i budowanie narzędzi na jego podstawie. Wreszcie, powinien on przestrzegać tych samych zasad otwartości, zaangażowania społeczności i uniwersalności co powszechnie udostępniane taksonomie, aby zyskać szeroką akceptację.”

Biorąc pod uwagę te parametry, EEAS rozpoczęła kodowanie incydentów FIMI w formacie Structured Threat Information Expression (STIX™).

„STIX to „ustrukturyzowany język do opisywania informacji o cyberzagrożeniach, aby można je było udostępniać, przechowywać i analizować w spójny sposób”. Jest to framework open-source, zarządzany przez non-profit organizację standaryzacyjną OASIS Open. Chociaż został opracowany dla incydentów cyberbezpieczeństwa, STIX obejmuje już wiele elementów, które są istotne w kontekście FIMI.

Co więcej, biorąc pod uwagę regularne nakładanie się incydentów cyberbezpieczeństwa i FIMI, dostosowanie standardów danych obu dziedzin przyniosłoby korzyści w zakresie współpracy międzydomenowej zarówno w analizie, jak i reakcji na działalność zagrażającą.

Ten raport wykorzystuje kombinację istniejących obiektów danych STIX i niestandardowych rozszerzeń potrzebnych do idiosynkratycznych wskaźników zagrożeń FIMI, które nie są jeszcze objęte standardem. Tworzenie takich niestandardowych rozszerzeń jest integralną częścią projektowania wersji STIX 2.1, a zatem jest zalecane przez jej twórców. Jednak aby umożliwić szeroką adopcję wśród obrońców FIMI, konieczne jest znalezienie konsensusu, czy w ogóle używać STIX, które istniejące obiekty STIX używać, które rozwijać i jak je używać. Mamy nadzieję, że ten raport stanowi wartościowy punkt wyjścia do tej rozmowy.

Opis modelu STIX

  • STIX  Object: Opis Obiektu
  • Incydent: Zawiera podstawowe informacje o incydencie (nazwa, opis, data rozpoczęcia, cel itp.).
  • Obserwowalny: URL lub plik, który został zaobserwowany w incydencie.
  • Kanały (rozszerzenie): Każdy kanał komunikacji online lub offline (strona internetowa, profil lub strona w mediach społecznościowych, stacja telewizyjna itp.). Kanały publikują obserwowalne obiekty.
  • Tożsamość: Osoby, organizacje lub lokalizacje, w tym kraje. Zazwyczaj koduje cele incydentów.
  • Aktor zagrożenia: Zawiera informacje o aktorze zagrażającym.
  • Wydarzenie (rozszerzenie): Opisuje wydarzenie w rzeczywistym świecie, takie jak wybory, pokaz, rocznica itp., aby dostarczyć kontekstu, w którym mogą mieć miejsce incydenty.
  • Podatność: Opisuje podatność, która została wykorzystana, aby incydent mógł się powieść.
  • Język (rozszerzenie): Jaki(e) język(i) został(y) użyty(e) w incydencie.
  • Wzór ataku:Opisuje techniki manipulacyjne (TTP) używane do przeprowadzenia ataku.
  • Sposób działania: Opisuje środki przeciwdziałania incydentom.
  • Narracje (rozszerzenie): Opisuje narracje użyte w incydentach. Narracje mogą być zagnieżdżone i przedstawiane jako meta i sub-narracje.”

 

Ważne definicje wykorzystywane w kontekście FIMI:

FIMI Foreign Information Manipulation and Interference

„Manipulacja i ingerencja w informacje przez podmioty zagraniczne (FIMI) opisuje w większości przypadków nielegalny wzorzec zachowań, który zagraża lub może negatywnie wpłynąć na wartości, procedury i procesy polityczne. Działalność ta ma charakter manipulacyjny, jest prowadzona w sposób celowy i skoordynowany przez aktorów państwowych lub niepaństwowych, w tym ich przedstawicieli wewnątrz i poza ich własnym terytorium.

TTP (s)

W kontekście FIMI, „Taktyki, Techniki i Procedury” to wzorce zachowań stosowane przez aktorów zagrażających w celu manipulowania środowiskiem informacyjnym z zamiarem wprowadzenia w błąd. Taktyki opisują operacyjne cele, które aktorzy zagrażający próbują osiągnąć. Techniki to działania opisujące, jak próbują to osiągnąć. Procedury to specyficzne kombinacje technik w różnych taktykach (lub etapach ataku), które wskazują na zamiar i mogą być unikalne dla różnych aktorów zagrażających.

DISARM

Analiza Dezinformacji i Zarządzanie Ryzykiem to framework open-source zaprojektowany do opisywania i rozumienia behawioralnych aspektów FIMI/dezinformacji. Określa najlepsze praktyki w walce z dezinformacją poprzez udostępnianie danych i analiz, a także może informować o skutecznych działaniach. Framework został opracowany, czerpiąc z globalnych najlepszych praktyk w zakresie cyberbezpieczeństwa (np. Mitre Att&ck).

STIX

Structured Threat Information Expression (STIX™) to format danych używany do kodowania i wymiany informacji o cyberzagrożeniach (CTI). Może być również używany do dzielenia się spostrzeżeniami na temat incydentów FIMI, poprzez rozbijanie ich na różne elementy składowe w formacie STIX.

Kill Chain

Kill Chain to model rozkładający na etapy atak przeprowadzony przez złośliwego aktora, umożliwiający analitykom przewidywanie, rozpoznawanie, zakłócanie lub zapobieganie atakowi. Początkowo jest to koncepcja wojskowa, która została zaadaptowana do cyberbezpieczeństwa i może być również stosowana do FIMI.”

Analiza zagrożeń dezinformacyjnych z użyciem ABCDE Framework (James Pamments)

 

„ABCDE framework proponuje rozróżnianie incydentów FIMI pod względem aktorów, zachowań, treści, stopnia i efektu.

Ten model zmusza analityków do zadawania kompleksowych pytań dotyczących działalności aktorów zagrażających i, na wiele sposobów, stanowi podstawę i inspirację dla propozycji omówionych w tej sekcji. Jest to pomocne narzędzie mnemotechniczne zarówno dla badaczy, jak i czytelników, aby sprawdzić, czy analiza obejmuje każdy ważny aspekt incydentu FIMI.

Framework ABCDE jest pomocny w rozpoczęciu myślenia o kluczowych elementach incydentów FIMI. Wzbogacony o wspólne taksonomie dla jego podkategorii ABCDE oraz wytyczne do operacjonalizacji zbierania danych, prowadzi badania do pełnego zrozumienia jednego incydentu FIMI.

Aby wyciągnąć ogólne wnioski na temat FIMI, taka pełna analiza jakościowa może być powtarzana w wielu incydentach, aby ujawnić wzorce między incydentami przez aktorów zagrażających.

Proponowane  ramy analityczne stanowią podstawę dla sposobu, w jaki EEAS obecnie zbiera porównawcze dane dotyczące zachowań aktorów zagrażających, aby umożliwić wgląd w trendy czasowe, geograficzne i status między różnymi aktorami działań, które mogą pomóc decydentom zrozumieć, gdzie i jak interweniować.

Model ABCDE do analizy (zagranicznej) manipulacji i ingerencji informacyjnej (Foreign Information Manipulation and Inteference: FIMI

ACTOR:

Aktor: Jakie rodzaje aktorów są zaangażowane? To pytanie może pomóc ustalić, na przykład, czy przypadek dotyczy zagranicznego aktora państwowego.

BEHAVIOUR:

Zachowanie: Jakie działania są wykazywane? To pytanie może pomóc ustalić, na przykład, dowody na koordynację i zamiar.

CONTENT:

Treść: Jakie rodzaje treści są tworzone i dystrybuowane? Ta linia pytania może pomóc ustalić, na przykład, czy rozpowszechniane informacje są zwodnicze.

DEGREE:

Stopień: Jaka jest dystrybucja treści? Jakie grupy odbiorców były celem i do których dotarto?

EFFECT:

Efekt: Jaki jest ogólny wpływ danego przypadku i kogo dotyczy? To pytanie może pomóc ustalić rzeczywiste szkody i powagę przypadku.”

Cytowania pochodzą z:

1st EEAS Report on Foreign Information Manipulation and Interference Threats. Towards a framework for networked defence. February 2023, ss. 4, 27, 30-31. Link: https://www.eeas.europa.eu/eeas/1st-eeas-report-foreign-information-manipulation-and-interference-threats_en

Zobacz także:

EEAS (Europejska Służba Działań Zewnętrznych)

Sprawdź również Artykuły powiązane
napisz do mnie l.z@lukaszzajac.com
Wynajmij mnie

© 2013-2025. Łukasz Zając PR. All rights reserved. Realizacja projektu: Igor Chudy

facebook-icon