联合国裁军研究所推出新的网络攻击评估框架

编者按

联合国裁军研究所（UNIDR）5月9日提出名为“UNIDIR入侵路径”的新网络攻击评估框架，旨在帮助联合国成员国和非技术利益相关者更好地分析和分析信息通信技术环境中的恶意活动和安全活动。

“UNIDIR入侵路径”是一个易于使用的框架，提供了发生恶意活动的 IT网络不同层的“简化”视图，从而提供了一种使网络外交更具包容性和更明智的手段。该框架基于“网络边界”构建，并创建了三个关键分析层次：边界外包括组织直接控制外的所有系统、网络和数据源，如公共数据库和存储库、社交媒体和公共网站、暗网和网络犯罪论坛；边界上指组织内部系统与外部世界间的边界，受到旨在过滤、监控和控制访问的多层安全措施的保护，如防火墙和入侵检测或防御系统；边界内指组织网络的内部私有部分，通常由一系列分段且受监控的子网络和设备组成，用于存储敏感数据和操作系统，如数据服务器和文件存储库、台式计算机、移动设备和其他设备。

该框架以洛克希德·马丁“网络杀伤链”和MITRE ATT&CK框架为基础并进行了补充，相关元素与后两者分类兼容，并可同时包含两个分类。该框架在现有入侵框架的基础上，构建了攻击者和防御者在各自角色中可能进行的活动。其中，攻击者在边界外收集可用于准备恶意ICT行为的受害者信息，如电子邮件、网络特征、漏洞，然后利用相关信息准备入侵所需的资源，具体做法是将恶意软件与外围网络的漏洞结合，创建用于入侵的有效载荷；在边界上试图侵入受害者的系统，通过钓鱼邮件或供应链入侵投送恶意软件，并利用上一阶段发现的边界漏洞执行攻击，在攻破边界后保持对系统的持续访问权限；在边界内侵入网络，建立对受感染系统的命令和控制，根据目标执行多项操作。防御者在边界外通过不同的方法寻找恶意活动的迹象，包括浏览漏洞存储库、收集服务器日志和寻求识别侦察行为；在边界上采取主动或被动防御措施，确保边界安全并避免入侵；在边界外识别并阻止攻击者的命令和控制，快速检测和破坏攻击者的行为，以限制入侵影响。

UNIDIR 入侵路径模型已经用于一个联合国裁军研究所2024 年 12 月发布的一项研究项目，该项目旨在了解人工智能如何在入侵路径的不同层面上改变攻击者和防御者的能力和行为。该项目展示了ICT入侵路径攻防两侧，对AI的影响提供了细致描述。其中，攻击者可利用人工智能在边界外分析大量信息、扫描网络基础设施、识别潜在受害者的行为模式并快速生成全面的情报分析，提高技能和知识来为入侵准备资源，未来还可能利用人工智能创建新型恶意软件；可利用人工智能在边界上制作可用于渗透网络的复杂虚假定制产品（如网站、电子邮件以及语音和视频合成），在大规模入侵尝试中确定优先级并利用系统以及提高隐蔽性，未来还可能利用人工智能增加恶意软件代码混淆以实现逃避和持久性；可利用人工智能在边界内支持有限的特定技术，如内部鱼叉式网络钓鱼或逃避检测，未来还可能在边界内部署人工智能智能体。防御者可利用人工智能在边界外快速生成增强威胁情报、检测有效载荷武器化，未来可能利用人工智能来转变防御策略从而“先发制人”式地阻止网络威胁；可利用人工智能在边界上通过增强电子邮件过滤器和防病毒解决方案、强化身份验证系统、支持渗透测试和修复漏洞、设置模拟真实网络行为的“蜜罐”以及支持更精确识别侦察模式和可疑行为的扫描工具等方式更好地保护边界，未来可能利用分散式人工智能网络安全解决方案；可利用人工智能在边界内快速收集、处理和总结有关网络内异常或可疑活动的情报，确定防御任务优先级并指导遏制、预防和减轻入侵的措施，编制ICT入侵详细报告，未来可能利用人工智能实现“自我修复”网络和系统。

奇安网情局编译有关情况，供读者参考。

随着政府、企业和社会数字化互联程度的不断提高，网络弹性和网络安全战略已成为维护国家和全球稳定的关键问题。人工智能（AI）在信息通信技术（ICT）领域的应用正在重塑网络安全的进攻性和防御性格局，为恶意行为者提供增强的能力，同时为防御者提供前所未有的工具。

联合国制定了新的网络攻击评估框架，该框架以 MITRE ATT&CK 框架等现有模型为基础并对其进行了补充。新的联合国裁军研究所（UNIDR）入侵路径框架旨在分析信息通信技术（ICT）环境中的恶意活动和安全活动。其目的是帮助联合国成员国和非技术利益相关者在技术社区使用“复杂语言”的情况下更好地理解恶意IT活动。它提供了发生恶意活动的 IT网络不同层的“简化”视图，从而提供了一种使网络外交更具包容性和更明智的手段。

信息通信技术（ICT）环境中每天都会发生数百万起恶意活动和网络安全相关响应。虽然无法提供确切数字，但根据对ICT环境中日常活动的评估，估计每天约有6亿起网络攻击发生。每发现一次攻击活动，都会触发相应的防御响应。

恶意信息通信技术活动数量不断增加，私营部门和国际社会都对这一趋势表示担忧。特别是，联合国会员国在近期发布的2021-2025年信息通信技术安全及使用不限成员名额工作组进展报告中重申，在当前地缘政治环境下，国际安全领域信息通信技术威胁加剧且显著演变，令人日益担忧。

国际社会和非技术利益相关方在理解恶意ICT活动时往往面临诸多挑战，这要么是由于技术界使用的复杂语言，要么是由于媒体在描述ICT事件时往往使用过于简单的语言。为了帮助会员国，联合国裁这研究所（UNIDIR）制定了一个用于分析ICT活动的新框架：UNIDIR入侵路径。

了解ICT威胁的复杂性

UNIDIR入侵路径是一个易于使用的框架，用于分析ICT环境中的恶意活动和安全活动。它基于网络边界的概念构建，该概念根据组织的网络将ICT环境分为外部和内部两部分。基于对ICT环境的这种“空间”理解，它旨在帮助可视化ICT活动可能发生的不同层面，从而提供一种工具，使网络外交更具包容性，也更明智。

一般来说，“网络边界”是指将特定网络与更广泛的互联网划分开的系统，主要通过管理内部网络的安全性和访问来实现（见图 1）。

图1：网络边界的简化概览

这种理解创建了三个关键的分析层次——边界外、边界上和边界内。

• 边界外包括组织直接控制外的所有系统、网络和数据源（例如，公共数据库和存储库、社交媒体和公共网站、暗网和网络犯罪论坛）。

• 边界上是指组织内部系统与外部世界间的边界。该边界受到多层安全措施的保护，这些措施旨在过滤、监控和控制访问（例如，防火墙和入侵检测或防御系统）。

• 边界内是组织网络的内部私有部分。它通常由一系列分段且受监控的子网络和设备组成，用于存储敏感数据和操作系统（例如，数据服务器和文件存储库、台式计算机、移动设备和其他设备）。

对于每一层，试图渗透的攻击者和负责网络安全的防御者都必须采取特定的行动。攻击者需要找到突破系统防御机制并实现其目标的方法，而防御者则需要监控并阻止任何未经授权的入侵。有几种方法可以对这些行为者应采取的不同行动进行分类。最著名的是洛克希德·马丁网络杀伤链（Cyber Kill Chain）和MITRE ATT&CK框架。

与现有模型的互补性和实际应用

洛克希德·马丁公司开发的“网络杀伤链”模型概述了网络攻击从初步侦察到数据泄露的不同阶段。它包含七个连续的阶段：侦察、武器化、投递、利用、安装、命令与控制以及针对目标的行动。该模型旨在通过识别并阻止攻击链每个阶段的敌对行动，帮助防御者检测、预防和应对入侵企图。它对于理解攻击的运作方式以及在何处最有效地应用防御措施尤为有用。该杀伤链将入侵呈现为七个阶段的线性、时间性进程，但现实世界中的恶意活动通常涉及非线性、迭代或并行的策略，这些策略可能不太适合该模型。

MITRE ATT&CK 框架由 MITRE 公司开发并维护，作为一项研究项目的一部分，旨在通过基于真实世界的循证模型，更好地理解攻击者的行为，并提升网络攻击防御能力。该框架对攻击者在入侵不同阶段使用的策略、技术和程序进行了分类。与线性模型不同，ATT&CK 提供了一个矩阵，将特定技术映射到更广泛的战术目标，例如初始访问、权限提升或数据泄露。虽然 MITRE ATT&CK 框架是理解攻击者行为的强大工具，但它也存在一些局限性，包括其复杂性和技术深度，如果没有适当的知识和培训，很难有效使用。

UNIDIR 入侵路径模型建立在这两个用于分析恶意 ICT 活动的成熟工具之上，并对其进行了补充。事实上，它的元素与网络杀伤链和 MITRE ATT&CK 分类兼容，并可同时包含这两个分类（见表 1）。

表1：不同入侵框架的兼容性和互补性

此外，UNIDIR入侵路径在现有入侵框架的基础上，构建了攻击者和防御者在各自角色中可能进行的活动。考虑到这些活动可能涉及高度技术性的技能和知识，UNIDIR入侵路径对攻击者和防御者在模型每一层中可以进行的活动进行了简化的概述。

表 2：UNIDIR 入侵路径

UNIDIR 入侵路径模型已经用于一个2024 年 12 月发布的一项研究项目，该项目旨在了解人工智能如何在入侵路径的不同层面上改变攻击者和防御者的能力和行为。该项目展示了ICT入侵路径的进攻和防御两个方面，对AI的影响提供了细致描述。

随着信息通信技术环境中恶意活动的增多，对国际和平与稳定构成日益严重的威胁，至关重要的是为政策制定者、从业人员和其他利益相关方提供工具，帮助他们理解、掌握信息并采取行动，从而构建一个更加透明、稳定与和平的数字空间。

声明：本文来自奇安网情局，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。