«Таблица Менделеева» для информационных операций
Фреймворк систематизирует поведение акторов влияния так же, как MITRE ATT&CK систематизирует кибератаки. Аналитики получают общий язык: вместо размытых формулировок — стандартные коды техник (T0001, T0002…), привязанные к этапам кампании и сопоставленные с контрмерами (C00001, C00002…).
Применяется в FIMI-аналитике, для тегирования отчётов, обмена данными через STIX/TAXII, в инструментах MISP, EclecticIQ Intelligence Center, расширениях Word и др.
Состав платформы
Две матрицы
Поведение атакующих
Тактики и техники акторов дезинформации — от планирования стратегии до измерения эффективности кампании.
Открыть Red Matrix →Поведение защитников
Контрмеры по тактическим этапам: какие действия может предпринять команда реагирования на каждой фазе.
Открыть Blue Matrix →Четыре фазы кампании
Матрица тактик и техник акторов дезинформации
Колонки — тактические этапы, упорядоченные слева направо по фазам Plan → Prepare → Execute → Assess. Внутри колонки — техники (TTP). Кликните по технике, чтобы открыть карточку с описанием, контрмерами и связанными инцидентами.
Матрица контрмер по тактическим этапам
Контрмеры (C00…) сгруппированы по самой ранней тактике, в которой их уместно применять. Кликните, чтобы посмотреть, к каким техникам привязана данная контрмера.
Поиск по всем объектам платформы
Реальные кампании с разбором по техникам DISARM
Соберите план реагирования по выбранным техникам
Отметьте подозреваемые техники атаки — модуль соберёт уникальный список рекомендованных контрмер. Это интерактивный отклик на TTP-набор: что именно должна сделать ваша команда.
1. Выберите техники
2. Рекомендованные контрмеры
История и состав DISARM
История
Фреймворк создан в декабре 2018 года рабочей группой Misinfosec WG в составе Credibility Coalition, при поддержке Craig Newmark Philanthropies. Первоначально назывался AMITT (Adversarial Misinformation and Influence Tactics & Techniques). После слияния с инициативами MITRE и FIU SP!CE команда (SJ Terp, Pablo Breuer, Mark Finlayson, Jon Brewer) переименовала проект в DISARM и зарегистрировала DISARM Foundation. С тех пор он промотируется EU EDMO, Alliance4Europe, входит в инструментарий Strengthened Code of Practice on Disinformation 2022.
Структура объектов
- Phases — четыре фазы кампании: Plan, Prepare, Execute, Assess.
- Tactics — высокоуровневые цели атакующего на каждой фазе (TA01–TA18).
- Techniques — конкретные действия (T0001…), описывающие, как достигается тактика.
- Counters — контрмеры (C00001…), сопоставлены с техниками и тактиками.
- Detections — индикаторы наблюдения, помогающие поймать технику в действии.
- Incidents — реальные задокументированные кампании с привязкой к TTP.
- Tools, External Groups, Examples — экосистема ресурсов и сообщества.
Лицензия и обновления
Все данные распространяются по лицензии CC-BY-4.0. Данные локального обозревателя соответствуют мастер-релизу март 2025. Параллельно DISARM Foundation развивает версию 2.0 с «observable matrix» — она будет добавлена отдельным режимом просмотра.