Компании Microsoft и CrowdStrike объявили о партнерстве и намерены объединить свои системы идентификации, используемые для определенных хакерских групп. При этом переходить на единый стандарт именования не планируется.
Как объяснили представители компаний, объединение будет происходить путем маппинга (или связывания) различных названий, используемых специалистами для каждой отслеживаемой группировки.
Проблема действительно назревала давно. К примеру, русскоязычная хак-группа, которую Microsoft отслеживает под названием Midnight Blizzard (ранее Nobelium), также известна под именами APT29, BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock и The Dukes, которые используют другие компании.
Аналогичным образом группировка Forest Blizzard (ранее Strontium) известна под именами Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy и TA422.
К тому же в апреле 2023 года сама Microsoft перешла от использования названий, вдохновленных химическими элементами, к названиям хак-групп, связанным с метеорологическими явлениями.
Представители Microsoft сообщают, что уже обновили свой справочник по киберугрозам, добавив в него перечень основных хакерских групп, отслеживаемых CrowdStrike, и используя системы именования каждой из компаний.
«Этот справочник служит отправной точкой, способом перевода систем именования, чтобы защитники могли действовать быстрее и эффективнее, особенно в средах, где используется информация от нескольких поставщиков, — объясняет Васу Джаккал (Vasu Jakkal), корпоративный вице-президент по безопасности Microsoft. — Эта работа направлена не на создание единого стандарта именования. Напротив, она призвана помочь нашим клиентам и всему сообществу безопасности быстрее согласовывать данные, быстрее реагировать и опережать угрозы».
В компании подчеркивают, что это первый шаг к упрощению отслеживания пересекающихся действий злоумышленников, который призван помочь избежать лишней путаницы и сложностей.
Представители Microsoft заявили, что вскоре Google/Mandiant и Palo Alto Networks тоже предоставят свою информацию, чтобы сделать атрибуцию киберпреступников более быстрой и точной, а в будущем к этой инициативе могут присоединиться и другие ИБ-компании.
Ожидается, что когда к альянсу присоединится больше участников, они смогут делиться телеметрическими данными, и проект позволит составлять более точное представление о вредоносных кампаниях.
«CrowdStrike и Microsoft гордятся тем, что сделали первый шаг, но мы понимаем, что для достижения успеха эта инициатива должна работать при поддержке сообщества», — добавляет Адам Мейерс (Adam Meyers), старший вице-президент по разведке в CrowdStrike.
