Keywords
influence operations
information operations
disinformation cybersecurity
CTI
Abstract
The article’s aim is to evaluate the utility of using the Cyber Threat Intelligence (CTI) approach in analysing information and influence operations. The study was carried out by a comparative method based on the technique of desk research. The point of comparison for the CTI methodology were methods originated in communicology, which are relatively popular in the study of propaganda. The authors try to answer the question of what methodological contribute to the study of the discussed phenomena – and thus to the practical potential of the analyst’s workshop – is the adoption of a paradigm for the analysis of information operations and influence operations based on models of tactics, techniques, and procedures (TTPs) recognition and taxonomy of ICT incidents or typification of CTI threat actors. The central focus of the study is a critical analysis of English-language publications discussing the use of CTI in disinformation analysis. The main conclusion from the analysis includes a thesis about the limited methodological benefits of CTI based methods, while using their technical and organisational strengths to research elements of information operations and influence operations in which cyberspace is used.
References
Bergh A., Understanding Influence Operations in Social Media: A Cyber Kill Chain Approach, „Journal of Information Warfare” 2020, t. 19, nr 4, s. 110–131.
Bernays E.L., Propaganda, New York 1928.
Caramancion K.M. i in., The Missing Case of Disinformation from the Cybersecurity Risk Continuum: A Comparative Assessment of Disinformation with Other Cyber Threats, „Data” 2022, t. 7, nr 4, s. 1–18. https://doi.org/10.3390/data7040049.
Dijk J. van, Społeczne aspekty nowych mediów, Warszawa 2010.
Dobek-Ostrowska B., Komunikowanie polityczne i publiczne, Warszawa 2007.
Dobek-Ostrowska B., Podstawy komunikowania społecznego, Wrocław 1999.
Dobek-Ostrowska B., Fras J., Ociepka B., Teoria i praktyka propagandy, Wrocław 1999.
Jowett G.S., O’Donnell V., Propaganda and Persuasion. Fifth Edition, Los Angeles–London– –New Delhi–Singapore–Washington 2012.
Kacała T., Tendencje rozwojowe współczesnych działań psychologicznych prowadzonych przez Siły Zbrojne RP, w: Innowacja i synergia w Siłach Zbrojnych RP, t. 1, A. Lis, R. Reczkowski (red.), Bydgoszcz 2012, s. 87–118.
Kacała T., Lipińska J., Komunikacja strategiczna i public affairs, Warszawa 2014.
Larecki J., Wielki leksykon służb specjalnych świata, Warszawa 2007. Minkina M., Sztuka wywiadu w państwie współczesnym, Warszawa 2014.
Modrzejewski Z., Information operations from the Polish point of view, „Obrana a strategie” (Defence and Strategy) 2018, nr 1, s. 115–132. https://doi.org/10.3849/1802-7199.18.2018.01.113-130.
Oosthoek K., Doerr Ch., Cyber Threat Intelligence: A Product Without a Process?, „International Journal of Intelligence and Counter Intelligence” 2021, t. 34, nr 2, s. 300–315. https://doi.org/10.1080/08850607.2020.1780062.
Rajczyk R., Nowoczesne wojny informacyjne, Warszawa 2016.
Roberts S.J., Brown R., Intelligence-Driven Incident Response. Outwitting the Adversary, Sebastopol 2017.
Świerczek M., Metody działania rosyjskich służb specjalnych w świetle afery Olega Kulinicza, „Przegląd Bezpieczeństwa Wewnętrznego” 2023, nr 29, s. 63–93. https://doi.org/10.4467/20801335PBW.23.020.18762.
Wasilewski J., Zarys definicyjny cyberprzestrzeni, „Przegląd Bezpieczeństwa Wewnętrznego” 2013, nr 9, s. 225–234.
Wojnowski M., „Zarządzanie refleksyjne” jako paradygmat rosyjskich operacji informacyjno-psychologicznych w XXI w., „Przegląd Bezpieczeństwa Wewnętrznego” 2015, nr 12, s. 11–36.
Woolley S.C., Howard P.N., Introduction: Computational Propaganda Worldwide, w: Computational Propaganda: Political Parties, Politicians, and Political Manipulation on Social Media, S.C. Woolley, P.N. Howard (red.), Oxford 2018, s. 3–18. https://doi.org/10.1093/oso/9780190931407.001.0001.
Źródła internetowe
About Strategic Communications, NATO Strategic Communications Centre of Excellence, https://stratcomcoe.org/about_us/about-strategic-communications/1 [dostęp: 10 VII 2024].
Acquire Infrastructure: Domains, Attack. Mitre, https://attack.mitre.org/techniques/T1583/001/ [dostęp: 24 VIII 2024].
Allied Joint Doctrine for Information Operations (AJP-10.1), UK Ministry of Defence, https://www.gov.uk/government/publications/allied-joint-doctrine-for-information-operations-ajp-101 [dostęp: 28 XII 2023].
Allied Joint Doctrine for Psychological Operations (AJP-3.10.1), UK Ministry of Defence, https://www.gov.uk/government/publications/ajp-3101-allied-joint-doctrine-for-psychological-operations [dostęp: 5 VII 2024].
An introduction to threat intelligence, CERT-UK, https://www.ncsc.gov.uk/files/An-introduction-to-threat-intelligence.pdf [dostęp: 10 IX 2024].
APT29, Attack. Mitre, https://attack.mitre.org/groups/G0016/ [dostęp: 24 VIII 2024].
ATT&CK Matrix for Enterprise, Attack. Mitre, https://attack.mitre.org/ [dostęp: 24 VIII 2024].
Brangetto P., Veenendaal M.A., Influence Cyber Operations: The Use of Cyberattacks in Support of Cyberaatacks in Support of Influence Operations, w: 8th International Conference on Cyber Conflict. Proceedings 2016, N. Pissanidis i in. (red. nauk.), https://ccdcoe.org/uploads/2018/10/Art-08-Influence-Cyber-Operations-The-Use-of-Cyberattacks-in-Support-of-Influence-Operations.pdf, s. 113–126 [dostęp: 10 VII 2024].
Caltagirone S., Pendergast A., Betz Ch., The Diamond Model of Intrusion Analysis, https://www.activeresponse.org/wp-content/uploads/2013/07/diamond.pdf [dostęp: 24 VIII 2024].
Cambridge Dictionary, https://dictionary.cambridge.org/dictionary/english/operation [dostęp: 28 XII 2023].
Collier J., Ronis S., Navigating the Trade-Offs of Cyber Attribution, https://cloud.google.com/blog/topics/threat-intelligence/trade-offs-attribution/ [dostęp: 22 VIII 2024].
Combating Foreign Influence, FBI, https://www.fbi.gov/investigate/counterintelligence/foreign-influence [dostęp: 2 XI 2024].
Cybersecurity and Foreign Interference in the EU Information Ecosystem, ENISA, 8 XII 2022 r., https://www.enisa.europa.eu/news/cybersecurity-foreign-interference-in-the-eu-information-ecosystem [dostęp: 20 IX 2024].
Cyber Influence Operations, https://www.microsoft.com/en-us/security/business/microsoft-digital-defense-report-2022-cyber-influence-operations [dostęp: 10 VII 2024].
DeBolt M. i in., CTI-CMM Cyber Threat Intelligence Capability Maturity Model, Version 1.0, https://d39ec1uo9ktrut.cloudfront.net/Datasheets/CTI-CMM-Cyber-Threat-Intelligence-Capability-Maturity-Model.pdf [dostęp: 22 VIII 2024].
DISARM Disinformation TTP (Tactics, Techniques and Procedures) Framework, GitHub, https://github.com/DISARMFoundation/DISARMframeworks/ [dostęp: 5 VIII 2024].
DISARM Foundation, https://www.disarm.foundation/about-us [dostęp: 5 VIII 2024].
DISARM Frameworks – incidents, GitHub, https://github.com/DISARMFoundation/DISARMframeworks/blob/main/generated_pages/incidents_index.md [dostęp: 31 VIII 2024].
DISARM Frameworks – phases, GitHub, https://github.com/DISARMFoundation/DISARMframeworks/tree/main/generated_pages/phases [dostęp: 31 VIII 2024].
DISARM Frameworks – techniques, GitHub, https://github.com/DISARMFoundation/DISARMframeworks/blob/main/generated_pages/techniques_index.md [dostęp: 31 VIII 2024].
Facebook. Threat research, GitHub, https://github.com/facebook/threat-research [dostęp: 11 VIII 2024].
Ferazza F.M., Cyber Kill Chain, MITRE ATT&CK, and the Diamond Model: a comparison of cyber intrusion analysis models, https://www.royalholloway.ac.uk/media/20188/techreport-2022-5.pdf.pdf [dostęp: 25 VIII 2024].
Foreign Information Manipulation and Interference (FIMI) and Cybersecurity – Threat Landscape, ENISA, 8 XII 2022 r., https://www.enisa.europa.eu/publications/foreign-information-manipulation-interference-fimi-and-cybersecurity-threat-landscape [dostęp: 20 IX 2024].
Glossary of Intelligence Terms and Definitions, https://www.cia.gov/readingroom/docs/CIA-RDP80M00596A000500020003-7.pdf [dostęp: 28 XII 2023].
Headquaters Departament of the Army, FM 100-6, Information Operations, Washington 1996, https://www.hsdl.org/?view&did=437397 [dostęp: 28 XII 2023].
Hutchins E.M., Cloppert M.J., Amin R.M., Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains, https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf [dostęp: 24 VIII 2024].
Information Operations, http://web.archive.org/web/20201226185947/https://transparency.twitter.com/en/reports/information-operations.html [dostęp: 11 VIII 2024].
Information Operations. Joint Publication 3-13, https://defenseinnovationmarketplace.dtic.mil/wp-content/uploads/2018/02/12102012_io1.pdf [dostęp: 30 I 2023].
Information Sharing and Analysis Centres (ISACs). Cooperative models, ENISA, 2017 r., https://www.enisa.europa.eu/publications/information-sharing-and-analysis-center-isacs-cooperative-models/@@download/fullReport [dostęp: 24 VIII 2024].
Introduction to STIX, https://oasis-open.github.io/cti-documentation/stix/intro.html [dostęp: 24 VIII 2024].
IO-Campaign-Collections, GitHub, https://github.com/tripkrant/IO-Campaign-Collections [dostęp: 31 VIII 2024].
Joint Doctrine for Command and Control Warfare (C2W), https://apps.dtic.mil/sti/pdfs/ADA357635.pdf [dostęp: 28 XII 2023].
Larson E.V. i in., Foundations of Effective Influence Operations. A Framework for Enhancing Army Capabilites, Rand Corporation, 2009 r., https://www.rand.org/pubs/monographs/MG654.html [dostęp: 18 XI 2024].
Mavroeidis V., Bromander S., Cyber Threat Intelligence Model: An Evaluation of Taxonomies, Sharing Standards, and Ontologies within Cyber Threat Intelligence, https://arxiv.org/pdf/2103.03530 [dostęp: 24 VIII 2024].
Microsoft Digital Defence Report 2022, https://cdn-dynmedia-1.microsoft.com/is/content/microsoftcorp/microsoft/final/en-us/microsoft-brand/documents/microsoft-digital-defense-report-2022.pdf?culture=en-us&country=us [dostęp: 11 VIII 2024].
MISP. Threat Sharing, https://www.misp-project.org/ [dostęp: 24 VIII 2024].
Niedzielski D., Wojskowa doktryna komunikacji strategicznej NATO i jej znaczenie dla Polski, „Akademickie Centrum Komunikacji Strategicznej” 2022, nr 3, https://www.wojsko-polskie.pl/aszwoj/u/af/14/af143adc-70e6-463a-8448-faaf0df61e9a/biuletyn_nr_3.pdf, s. 46–53 [dostęp: 10 VII 2024].
OpenCTI, https://filigran.io/solutions/open-cti/ [dostęp: 24 VIII 2024].
Oxford English Dictionary, https://www.oed.com/dictionary/operation_n?tab=factsheet&tl=true#33665121 [dostęp: 28 XII 2023].
Pamment J., Smith V., Attributing Information Influence Operations: Identifying those Responsible for Malicious Behaviour Online, https://stratcomcoe.org/publications/download/Nato-Attributing-Information-Influence-Operations-DIGITAL-v4.pdf [dostęp: 18 VIII 2024].
Pols P., The Unified Kill Chain. Raising resilience against advanced cyber attacks, https://www.unifiedkillchain.com/assets/The-Unified-Kill-Chain.pdf [dostęp: 24 VIII 2024].
Porche I.R. i in., Redefining Information Warfare Boundaries for an Army in Wireless World, https://www.rand.org/content/dam/rand/pubs/monographs/MG1100/MG1113/RAND_MG1113.pdf [dostęp: 28 XII 2023].
Preparing for and Mitigating Foreign Influence Operations Targeting Critical Infrastructure, https://www.cisa.gov/sites/default/files/2023-01/cisa_insight_mitigating_foreign_influence_508.pdf [dostęp: 29 XII 2023].
Raport o stanie bezpieczeństwa cyberprzestrzeni RP w 2023 roku, CSIRT GOV, https://csirt.gov.pl/cer/publikacje/raporty-o-stanie-bezpi/980,Raport-o-stanie-bezpieczenstwa-cyberprzestrzeni-RP-w-2023-roku.html [dostęp: 31 VIII 2024].
Shires J., Hack-and-leak operations and U.S. cyber policy, War on the Rocks, 14 VIII 2020 r., https://warontherocks.com/2020/08/the-simulation-of-scandal/ [dostęp: 10 VII 2024].
SJ Terp, https://www.infosecurity-magazine.com/profile/sj-terp/ [dostęp: 5 VIII 2024].
Słownik języka polskiego PWN, https://sjp.pwn.pl/szukaj/operacja.html [dostęp: 3 VII 2024].
SolarWinds Compromise, Attack. Mitre, https://attack.mitre.org/campaigns/C0024/ [dostęp: 24 VIII 2024].
Terms & Definitions of Interest for DoD Counterintelligence Professionals, https://www.dni.gov/files/NCSC/documents/ci/CI_Glossary.pdf [dostęp: 28 XII 2023].
Terp SJ, Breuer P., DISARM: A Framework for Analysis of Disinformation Campaigns, 2022 IEEE Conference on Cognitive and Computational Aspects of Situation Management (CogSIMA), https://ieeexplore.ieee.org/document/9830669 [dostęp: 5 VIII 2024].
Threat Report: Combating Influence Operations, Meta, 26 V 2021 r., https://about.fb.com/news/2021/05/influence-operations-threat-report/ [dostęp: 11 VIII 2024].
Threat Report. The State of Influence Operations 2017–2020, https://about.fb.com/wp-content/uploads/2021/05/IO-Threat-Report-May-20-2021.pdf [dostęp: 10 VII 2024].
TTP in cybersecurity, Sekoia, https://www.sekoia.io/en/glossary/ttp-cyber-tactics-techniques-and-procedures/ [dostęp: 9 IX 2024].
Updated IC Gray Zone Lexicon: Key Terms and Definitions, https://www.dni.gov/files/ODNI/documents/assessments/NIC-Unclassified-Updated-IC-Gray-Zone-Lexicon-July2024.pdf [dostęp: 11 VIII 2024].
Wagner T.D. i in., Cyber Threat Intelligence Sharing: Survey and Research Directions, https://www.open-access.bcu.ac.uk/7852/1/Cyber%20Threat%20Intelligence%20Sharing%20Survey%20and%20Research%20Directions.pdf [dostęp: 24 VIII 2024].
Wardle C., Derakhshan H., Information Disorder: Toward an interdisciplinary framework for research and policy making, Council of Europe report DGI(2017)09, https://edoc.coe.int/en/media/7495-information-disorder-toward-an-interdisciplinary-framework-for-research-and-policy-making.html [dostęp: 10 VII 2024].
Watling J., Danyluk O., Reynolds N., Preliminary Lessons from Russia’s Unconventional Operations During the Russo-Ukrainian War, February 2022–February 2023, https://static.rusi.org/202303-SR-Unconventional-Operations-Russo-Ukrainian-War-web-final.pdf.pdf [dostęp: 10 VII 2024].
Watts C., Advanced Persistent Manipulators, Part One: The Threat to Social Media Industry, Alliance for Securing Democracy, 12 II 2019 r., https://securingdemocracy.gmfus.org/advanced-persistent-manipulators-part-one-the-threat-to-the-social-media-industry/ [dostęp: 18 VIII 2024].
Words of Estimative Probability, Analytic Confidences, and Structured Analytic Techniques, Center for Internet Security, https://www.cisecurity.org/ms-isac/services/words-of-estimative-probability-analytic-confidences-and-structured-analytic-techniques [dostęp: 23 VIII 2023].
Wright C., The Diamond Model for Influence Operations Analysis, https://go.recordedfuture.com/hubfs/white-papers/diamond-model-influence-operations-analysis.pdf [dostęp: 28 VII 2024].
Akty prawne
Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (t.j. DzU z 2024 r. poz. 1557).
Ustawa z dnia 29 sierpnia 2002 r. o stanie wojennym oraz o kompetencjach Naczelnego Dowódcy Sił Zbrojnych i zasadach jego podległości konstytucyjnym organom Rzeczypospolitej Polskiej (t.j. DzU z 2022 r. poz. 2091).
Ustawa z dnia 6 czerwca 1997 r. – Kodeks karny (t.j. DzU z 2024 r. poz. 17).
Inne dokumenty
Strategia Bezpieczeństwa Narodowego Rzeczypospolitej Polskiej 2020, https://www.bbn.gov.pl/ftp/dokumenty/Strategia_Bezpieczenstwa_Narodowego_RP_2020.pdf [dostęp: 10 VII 2024].
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.
Copyright (c) 2024 Internal Security Review (Przegląd Bezpieczeństwa Wewnętrznego)