Microsoft ve Crowdstrike, yeni bir ortak tehdit aktör eşleme yayınlayarak bireysel tehdit aktör taksonomilerini hizalamak için bir araya geldiklerini açıkladılar.
Microsoft Güvenlik Kurumsal Başkan Yardımcısı Vasu Jakkal, “Bu aktörler hakkındaki bilgimizin hizalandığı yerleri haritalayarak, güvenlik uzmanlarına içgörüleri daha hızlı bağlama ve kararlar verme yeteneği sağlayacağız.” Dedi.
Girişim, özel siber güvenlik satıcılarının ulus devlet, finansal olarak motive edilmiş, operasyonlar, özel sektör hücum aktörleri ve gelişmekte olan kümeler olarak kategorize edilen çeşitli hack gruplarına atadığı takma adların canlandırılmasının bir yolu olarak görülüyor.
Örneğin, Microsoft tarafından Midnight Blizzard (eski adıyla Nobelium) olarak izlenen Rus devlet destekli tehdit oyuncusu APT29, Bluebravo, pelerinli URSA, Cozy Bear, Demir Hemlock ve Dukes olarak da bilinir.
Benzer şekilde, Forest Blizzard (daha önce strontium) mavi Athena, Bluedelta, Fantezi Bear, Fighting Ursa, Frozenlake, Demir Twilight, Piyon Storm, Sednit, Sofacy ve TA422 gibi diğer takma adlar tarafından geçer. Microsoft, Nisan 2023’te Hava Durumu Temalı Tehdit Oyuncusu isimlendirmesine kimyasal öğelerden ilham alan isimler kullanmaktan geçti.
Bu isimleri satıcılar arasında hizalarken, fikir, örtüşen tehdit aktör etkinliğini izlemeyi çok daha kolay hale getirmek ve tehdit aktör ilişkilendirmesi söz konusu olduğunda, güveni azaltabilen, analizi karmaşıklaştırabilir ve tepkiyi geciktirebilir.
Birleşik Tehdit Haritalama Sistemi iki taraflı bir çaba olsa da, Google ve Maniant iştiraki ve Palo Alto Networks Birimi 42’nin de çabaya katkıda bulunması bekleniyor. Diğer siber güvenlik şirketlerinin gelecekte inisiyatife katılması muhtemeldir. Bununla birlikte, işbirliği tek bir adlandırma standardı oluşturmayı amaçlamıyor.
Crowdstrike, hizalamanın 80’den fazla rakipin başarılı bir şekilde dekonflanmasına yol açtığını ve ittifakın tek bir adlandırma şemasına bağlı kalmadan tehdit aktör takma adlarını daha iyi ilişkilendirmeyi amaçladığını söyledi. Yeni Sözlüğe “Rosetta Stone” olarak adlandırdı.
Crowdstrike’den Adam Meyers, “Ayrıca, telemetrinin birbirini tamamladığı durumlarda, daha fazla uçak ve vektör arasında atıfta bulunma fırsatı var – tüm topluluğa fayda sağlayan düşman kampanyaları hakkında daha zengin, daha doğru bir görüş oluşturuyor.” Dedi.