Microsoft y CrowdStrike han anunciado que se están uniendo para alinear sus taxonomías de actores de amenaza individuales mediante la publicación de un nuevo mapeo de actores de amenaza conjunta.
«Al mapear dónde se alinean nuestro conocimiento de estos actores, proporcionaremos a los profesionales de la seguridad la capacidad de conectar las ideas más rápido y tomar decisiones con viejo confianza», dijo Vasu Jakkal, vicepresidente corporativo de Microsoft Security.
La iniciativa se ve como una forma de desenredar la colección de apodos que los proveedores privados de ciberseguridad asignan a varios grupos de piratería que están ampliamente categorizados como un estado-nación, influyen financieramente, las operaciones, los actores ofensivos del sector privado y los grupos emergentes.
Por ejemplo, el actor de amenazas patrocinado por el estado ruso rastreado por Microsoft como Midnight Blizzard (anteriormente Nobelio) todavía se conoce como APT29, BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock y los Dukes.
Del mismo modo, Forest Blizzard (anteriormente Strontium) pasa por otros apodos como Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Frozenlake, Iron Twilight, Pawn Storm, Sednit, Sofacy y Ta422. Microsoft pasó de usar nombres inspirados en medios químicos a una nomenclatura de actores de amenaza con temas climáticos en abril de 2023.
Al alinear estos nombres entre los proveedores, la idea es hacer que el seguimiento de la actividad de los actores de amenaza superpuesta sea mucho más tratable y evitar la confusión no deseada cuando se tráfico de atribución de actores de amenaza que a su vez puede estrechar la confianza, complicar el observación y la respuesta de retraso.
Si perfectamente el sistema de mapeo de amenazas unificados es un esfuerzo bipartidista, Google y su subsidiaria mandante, así como la Pelotón de Palo Detención Networks, todavía contribuyen al esfuerzo. Es probable que otras compañías de ciberseguridad se unan a la iniciativa en el futuro. Dicho esto, la colaboración no tiene como objetivo crear un solo tipificado de nombres.
CrowdStrike dijo que la formación ha llevado a desconfeccionar con éxito a más de 80 adversarios, y agregó que la alianza tiene como objetivo correlacionar mejor los mote de actores de amenaza sin encariñarse a un solo esquema de nombres. Llamó al nuevo catálogo un «Rosetta Stone».
«Por otra parte, donde la telemetría se complementa entre sí, existe la oportunidad de extender la atribución en más aviones y vectores: construir una visión más rica y precisa de las campañas adversas que beneficia a toda la comunidad», dijo Adam Meyers de CrowdStrike.
