Microsoft y CrowdStrike han anunciado que se están uniendo para alinear sus taxonomías de actores de amenaza individuales mediante la publicación de un nuevo mapeo de actores de amenaza conjunta.
«Al mapear dónde se alinean nuestro conocimiento de estos actores, proporcionaremos a los profesionales de la seguridad la capacidad de conectar las ideas más rápido y tomar decisiones con mayor confianza», dijo Vasu Jakkal, vicepresidente corporativo de Microsoft Security.
La iniciativa se ve como una forma de desenredar la colección de apodos que los proveedores privados de ciberseguridad asignan a varios grupos de piratería que están ampliamente categorizados como un estado-nación, influyen financieramente, las operaciones, los actores ofensivos del sector privado y los grupos emergentes.
Por ejemplo, el actor de amenazas patrocinado por el estado ruso rastreado por Microsoft como Midnight Blizzard (anteriormente Nobelio) también se conoce como APT29, BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock y los Dukes.
Del mismo modo, Forest Blizzard (anteriormente Strontium) pasa por otros apodos como Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Frozenlake, Iron Twilight, Pawn Storm, Sednit, Sofacy y Ta422. Microsoft pasó de usar nombres inspirados en elementos químicos a una nomenclatura de actores de amenaza con temas climáticos en abril de 2023.
Al alinear estos nombres entre los proveedores, la idea es hacer que el seguimiento de la actividad de los actores de amenaza superpuesta sea mucho más fácil y evitar la confusión no deseada cuando se trata de atribución de actores de amenaza que a su vez puede reducir la confianza, complicar el análisis y la respuesta de retraso.
Si bien el sistema de mapeo de amenazas unificados es un esfuerzo bipartidista, Google y su subsidiaria mandante, así como la Unidad de Palo Alto Networks, también contribuyen al esfuerzo. Es probable que otras compañías de ciberseguridad se unan a la iniciativa en el futuro. Dicho esto, la colaboración no tiene como objetivo crear un solo estándar de nombres.
CrowdStrike dijo que la alineación ha llevado a desconfeccionar con éxito a más de 80 adversarios, y agregó que la alianza tiene como objetivo correlacionar mejor los alias de actores de amenaza sin apegarse a un solo esquema de nombres. Llamó al nuevo glosario un «Rosetta Stone».
«Además, donde la telemetría se complementa entre sí, existe la oportunidad de extender la atribución en más aviones y vectores: construir una visión más rica y precisa de las campañas adversas que beneficia a toda la comunidad», dijo Adam Meyers de CrowdStrike.