Microsoft, hava durumundan ilham alan bir taksonomiyi benimseyerek tehdit aktörlerini adlandırma biçimini değiştiriyor.
Microsoft Threat Intelligence’ın seçkin mühendisi ve kurumsal Başkan Yardımcısı John Lambert Salı günü yaptığı açıklamada, Microsoft’un tehdit aktörleri öğelerini, ağaçları, volkanları ve DEV’leri adlandırdığı günlerin geride kaldığını söyledi. Blog yazısı.
Microsoft’un da dahil olduğu tehdit istihbaratı firmaları, izledikleri tehdit aktörlerine, rakiplere benzersiz adlar atayarak damgasını vurur. Bu uygulama, araştırmacıların aynı grupla ilgili içgörüleri izlemesini ve paylaşmasını istemeden gizleyen bir adlandırma kuralıyla sonuçlanmıştır.
Microsoft’un yeni tehdit aktörü adlandırma taksonomisi, aynı tehdit aktörlerine genel olarak tehdit araştırmacıları tarafından uygulanan adların miktarını azaltmaz, bunun yerine tehdit aktörü gruplarını hava durumu temalı kategoriler halinde düzenler.
Lambert, blog gönderisinde, “Yeni taksonomiyle, halihazırda çok büyük miktarda tehdit istihbaratı verisiyle karşı karşıya olan müşterilere ve güvenlik araştırmacılarına daha iyi bir bağlam getirmeyi amaçlıyoruz” dedi.
Lambert, “Basitçe söylemek gerekirse, güvenlik uzmanları, sadece adını okuyarak karşı karşıya oldukları tehdit aktörünün türü hakkında anında fikir sahibi olacaklar” dedi.
Yeni taksonomiye göre, hava olayları bir ulus-devlet aktörü atıfını veya bir motivasyonu temsil ediyor.
Çin menşeli veya Çin’e atfedilen ulus-devlet aktörlerine artık Typhoon soyadı atanırken, finansal olarak motive olan tehdit aktörlerine Tempest aile adı altında düşüyor.
Microsoft’un tehdit aktörü adlandırma kuralları aşırı hava koşullarından ilham alıyor
| üyelik | Soyadı |
|---|---|
| Çin | Tayfun |
| İran | kum fırtınası |
| Lübnan | Yağmur |
| Kuzey Kore | Sulu kar |
| Rusya | kar fırtınası |
| Güney Kore | Dolu |
| Türkiye | Toz |
| Vietnam | Siklon |
| Mali motive | Fırtına |
| Özel sektör hücum aktörleri | tsunami |
| Etki operasyonları | Sel basmak |
| Geliştirme aşamasındaki gruplar | Fırtına |
KAYNAK: Microsoft
Adlandırma sistemi, hava olayına bir sıfat atayarak aynı hava durumu ailesi içindeki tehdit aktörü gruplarını ayırır. Bu, farklı taktiklere, tekniklere ve prosedürlere, altyapıya veya Microsoft tarafından tanımlanan diğer kalıplara sahip tehdit aktörlerini içerir.
Microsoft şimdi, örneğin Midnight Blizzard, Forest Blizzard ve Aqua Blizzard gibi Rusya (blizzard) ile bağlantılı bazı ulus-devlet aktörlerini izliyor. İran’la bağlantılı ulus-devlet aktörleri arasında Mint Sandstorm, Grey Sandstorm ve Hazel Sandstorm yer alıyor.
Microsoft, yeni keşfedilen, bilinmeyen veya ortaya çıkan tehdit etkinliği kümelerini geçici olarak fırtına ve dört basamaklı bir sayı olarak belirleyecektir. Örneğin DEV-1101 artık Storm-1101’dir. Microsoft, aktörün kökeni veya kimliği konusunda yüksek güvene ulaştığında, bir fırtına adlı bir aktöre dönüştürülür.
Microsoft Defender Tehdit İstihbaratı, kuruluşların tehdidi azaltmak için uygulayabilecekleri araçlar, teknikler ve adımlar da dahil olmak üzere tehdit aktörlerinin profillerini günlük olarak güncelleyecektir.
Lambert, “Microsoft, tehditleri izlemek için benzersiz yeteneklere sahiptir ve zamanında, tutarlı analiz sağlama beklentisi yalnızca artacaktır” dedi. “Karmaşıklık, kafa karışıklığı ve çok büyük miktarda veri içeren büyüyen bir sektörde, müşterilere daha da proaktif savunmalar uygulamalarını sağlayan hiper ilgili tehdit istihbaratı sağlama fırsatı görüyoruz.”