Por: Vasu Jakkal, vicepresidenta corporativa de seguridad de Microsoft.
En el panorama actual de las ciberamenazas, incluso unos segundos de retraso pueden significar la diferencia entre detener un ciberataque o ser víctima del ransomware. Una de las principales causas de la demora en la respuesta es la comprensión de la atribución de los actores de amenazas, que a menudo se ve ralentizada por datos inexactos o incompletos, así como por inconsistencias en la nomenclatura en todas las plataformas. Esto, a su vez, puede reducir la confianza, complicar el análisis y retrasar la respuesta. Como se describe en la guía del Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) sobre el uso compartido de amenazas (SP 800-1501), alinear la forma en que describimos y categorizamos las amenazas cibernéticas puede mejorar la comprensión, la coordinación y la postura de seguridad general.
Es por eso que nos complace anunciar que Microsoft y CrowdStrike se unen para crear alineación entre nuestras taxonomías individuales de actores de amenazas. Al mapear dónde se alinea nuestro conocimiento de estos actores, proporcionaremos a los profesionales de la seguridad la capacidad de conectar información más rápido y tomar decisiones con mayor confianza.
Más información sobre la taxonomía conjunta de actores de amenazas de Microsoft y CrowdStrike
Los nombres son la forma en que damos sentido al panorama de amenazas y organizamos la información sobre los comportamientos conocidos o probables de los ciberatacantes. En Microsoft, hemos publicado nuestra propia taxonomía de nomenclatura de actores de amenazas para ayudar a los investigadores y defensores a identificar, compartir y actuar sobre nuestra inteligencia de amenazas, que se basa en los 84 billones de señales de amenazas que procesamos a diario. Pero el mismo actor al que Microsoft se refiere como Midnight Blizzard podría ser referido como Cozy Bear, APT29 o UNC2452 por otro proveedor. Nuestros clientes mutuos siempre buscan claridad. Alinear los puntos en común conocidos entre los nombres de estos actores directo con los de sus pares ayuda a proporcionar una mayor claridad y proporciona a los defensores un camino más claro hacia la acción.
Presentamos una guía de referencia colaborativa para los actores de amenazas
Microsoft y CrowdStrike publican la primera versión de nuestro mapeo conjunto de actores de amenazas. Incluye:
- Una lista de actores comunes rastreados por Microsoft y CrowdStrike mapeados por sus respectivas taxonomías.
- Alias correspondientes de la taxonomía de cada grupo.
Esta guía de referencia sirve como punto de partida, una forma de traducir a través de los sistemas de nomenclatura para que los defensores puedan trabajar más rápido y de manera más eficiente, en especial en entornos donde están en juego las ideas de múltiples proveedores. Esta guía de referencia ayuda a:
- Mejorar la confianza en la identificación de actores de amenazas.
- Optimizar la correlación entre plataformas e informes.
- Acelerar la acción de los defensores frente a las ciberamenazas activas.
Este esfuerzo no se trata de crear un estándar de nomenclatura único. Más bien, está destinado a ayudar a nuestros clientes y a la comunidad de seguridad en general a alinear la inteligencia más fácil, responder más rápido y mantenerse por delante de los actores de amenazas.
De cara al futuro
Esta asignación de taxonomía inicial es una colaboración entre Microsoft y CrowdStrike. Google/Mandiant y la Unidad 42 de Palo Alto Networks también contribuirán a este esfuerzo. Esperamos compartir actualizaciones de esas colaboraciones en un futuro próximo. La seguridad es una responsabilidad compartida que requiere esfuerzos de toda la comunidad para mejorar las medidas defensivas. Estamos emocionados de asociarnos con CrowdStrike y esperamos que otros se unan a nosotros en este recorrido.
Lean el mapeo de taxonomía de Microsoft y Crowdstrike
Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen a Favoritos el blog de Seguridad para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en LinkedIn (Microsoft Security) y X (@MSFTSecurity) para conocer las últimas noticias y actualizaciones sobre ciberseguridad.
1SP 800-150, Guía para el intercambio de información sobre amenazas cibernéticas, Centro de Investigación de Seguridad Informática del NIST. Octubre 2016.