En el paisaje cibernético precise, incluso segundos de retraso pueden significar la diferencia entre detener un ataque cibernético o ser víctima de ransomware. Una causa importante de la respuesta tardía es comprender la atribución de actores de amenaza, que a menudo se ralentiza con datos inexactos o incompletos, así como inconsistencias en el nombre de las plataformas. Esto, a su vez, puede reducir la confianza, complicar el análisis y retrasar la respuesta. Como se describe en la guía del Instituto Nacional de Normas y Tecnología (NIST) sobre el intercambio de amenazas (SP 800-1501), alinear cómo describimos y clasificamos los cibernétricos puede mejorar la comprensión, la coordinación y la postura common de seguridad.
Por eso estamos emocionados de anunciar que Microsoft y CrowdStrike se están uniendo para crear alineación en nuestras taxonomías de actores de amenaza particular person. Al mapear dónde se alinean nuestro conocimiento de estos actores, proporcionaremos a los profesionales de la seguridad la capacidad de conectar las concepts más rápido y tomar decisiones con mayor confianza.
Los nombres son cómo damos sentido al paisaje de amenazas y organizamos concepts sobre comportamientos cibernéticos conocidos o probables. En Microsoft, hemos publicado nuestro propio actor de amenazas que nombra la taxonomía para ayudar a los investigadores y defensores a identificar, compartir y actuar sobre nuestra inteligencia de amenazas, que está informada por las 84 billones de señales de amenaza que procesamos diariamente. Pero el mismo actor al que Microsoft se refiere como Midnight Blizzard podría ser denominado Acogedor Bear, APT29 o UNC2452 por otro proveedor. Nuestros clientes mutuos siempre están buscando claridad. Alinear los puntos en común conocidos entre estos nombres de actores directamente con sus compañeros ayuda a proporcionar una mayor claridad y les da a los defensores un camino más claro hacia la acción.
Introducción de una guía de referencia de colaboración para actores de amenazas
Microsoft y CrowdStrike son Publicando la primera versión de nuestro mapeo de actores de amenaza conjunta. Incluye:
- Una lista de actores comunes rastreados por Microsoft y CrowdStrike mapeado por sus respectivas taxonomías.
- Alias correspondientes de la taxonomía de cada grupo.
Esta guía de referencia sirve como punto de partida, una forma de traducirse a través de los sistemas de nomenclatura para que los defensores puedan funcionar más rápido y de manera más eficiente, especialmente en entornos donde se juegan concepts de múltiples proveedores. Esta guía de referencia ayuda a:
- Mejorar la confianza En la identificación del actor de amenaza.
- Racionalizar la correlación a través de plataformas e informes.
- Acelerar la acción del defensor Frente a los cibernétricos activos.
Este esfuerzo no se trata de crear un solo estándar de nombres. Más bien, está destinado a ayudar a nuestros clientes y a la comunidad de seguridad más amplia a alinear la inteligencia más fácilmente, responder más rápido y mantenerse por delante de los actores de amenaza.
Mirando hacia el futuro
Este mapeo de taxonomía inicial es una colaboración entre Microsoft y CrowdStrike. Google/Mandiant y Palo Alto Networks Unidad 42 también contribuirán a este esfuerzo. Esperamos compartir actualizaciones de esas colaboraciones en el futuro cercano. La seguridad es una responsabilidad compartida, que requiere esfuerzos de toda la comunidad para mejorar las medidas defensivas. Estamos emocionados de asociarnos con CrowdStrike y esperamos que otros se unan a nosotros en este viaje.
Para obtener más información sobre Microsoft Safety Options, visite nuestra sitio net. Marcar el Weblog de seguridad Para mantenerse al día con nuestra cobertura experta sobre asuntos de seguridad. Además, síganos en LinkedIn (Seguridad de Microsoft) y x (@Msftsecurity) para las últimas noticias y actualizaciones sobre ciberseguridad.
1SP 800-150, Guía del intercambio de información de amenazas cibernéticasCentro de Investigación de Seguridad Informática NIST. Octubre de 2016.