Microsoft ve Crowdstrike, siber tehdit aktör kimliğinin kafa karıştırıcı manzarasını kolaylaştırmak için dün çığır açan bir işbirliği duyurdular ve endüstri uzmanlarının siber güvenlik istihbarat paylaşımı için bir havza anı dediğini işaret ettiler.
Ortaklık, siber güvenlik endüstrisini uzun zamandır rahatsız eden kritik bir zorluğa değiniyor: güvenlik satıcıları arasında aynı tehdit aktörleri için farklı adlandırma kurallarının çoğalması.
Bu parçalanma, tehdit tepkisinde gereksiz karışıklık ve gecikmeler yarattı, saniyelerin bile bir saldırının başarılı olup olmadığını belirleyebileceği bir dönemde potansiyel olarak yıkıcı sonuçlar verdi.
.png
)
Adlandırma Sorunu
Sorun, her siber güvenlik şirketinin tehdit aktörlerini izlemek için kendi sınıflandırmasını geliştirenden kaynaklanmaktadır.
Örneğin, Microsoft’un “Midnight Blizzard” olarak adlandırdığı tanınmış hack grubu, diğer satıcılar tarafından “rahat ayı”, “apt29” veya “unc2452” olarak da bilinir.
Bu tutarsızlık, güvenlik profesyonellerini savunmaya odaklanmak yerine değerli zamanlar çapraz referans istihbaratını harcamaya zorlar.
Crowdstrike’daki karşı düşman operasyonları başkanı Adam Meyers, “Düşmanlar hem teknolojinin hem de tutarsız adlandırma ile yaratılan karışıklığın arkasında saklanıyor” dedi.
“Savunucular olarak, önde kalmak ve güvenlik ekiplerine onları kimin hedeflediği ve nasıl yanıt verileceği konusunda netlik vermek.”
İki şirket, siber tehdit istihbaratı için “Rosetta Stone” dediklerini yarattı. Bu kapsamlı haritalama sistemi, tek bir adlandırma standardını zorunlu kılmadan satıcı ekosistemleri arasındaki düşman tanımlayıcıları bağlar.
Bu yaklaşım, savunucular için kritik çeviri yetenekleri sağlarken her şirketin analitik metodolojilerini korur.
Microsoft’un kurumsal başkan yardımcısı Vasu Jakkal aciliyeti vurguladı: “Giderek daha karmaşık ve hızlı gelişen bir tehdit manzarası karşısında, gecikme bile kritik olabilir, bu da güvenlik risklerini nasıl ele aldığımızı yeniden düşünmemizi çok önemli hale getirir”.
İşbirliği zaten somut değer göstermiştir. Doğrudan analist liderliğindeki işbirliği yoluyla şirketler, Microsoft’un “Volt Typhoon” ve Crowdstrike’ın “öncü Panda” nın aynı Çin devlet destekli gruba atıfta bulunduğunu doğrulamak da dahil olmak üzere 80’den fazla tehdit aktörünü deşifre etti.
Bu haritalama endüstrinin standart beş tehdit oyuncusu kategorilerini kapsamaktadır: ulus-devlet aktörleri, finansal olarak motive olmuş aktörler, özel sektör hücum aktörleri, operasyonları etkiler ve geliştirme grupları.
Girişim ilk ortaklığın ötesine uzanıyor. Google’ın Mandiant ve Palo Alto Networks birimi 42, ek siber güvenlik firmalarını işbirlikçi haritalama kaynağına katılmaya davet etme planlarıyla çabaya katkıda bulunmayı taahhüt etti.
Jakkal, “Güvenlik bir takım sporu” dedi. “Savunucular bilgiyi daha hızlı paylaşabilir ve daha hızlı tepki verdiğinde, dünyayı nasıl koruduğumuzda bir fark yaratır”.
Şirketler, bu çabanın evrensel bir adlandırma standardı oluşturmayı amaçlamadığını, daha ziyade tehdit yanıtında daha hızlı, kendinden daha emin karar almayı sağlayan çeviri yetenekleri sağlamayı vurgulamaktadır.
Siber tehdit manzarası gelişmeye devam ederken, Microsoft geçen yıl 300’e kıyasla 1.500’den fazla tehdit aktörünü izlerken, bu tür işbirlikçi istihbarat paylaşımı küresel siber güvenlik için giderek daha kritik hale geliyor.
Canlı Kimlik Hırsızlık Saldırısı UN MASK & Anında Savunma – Ücretsiz Web Semineri