CrowdStrike и Microsoft объявили в понедельник о соглашении об официальном объединении различных названий, которые каждая компания использует для одних и тех же групп угроз в своём атрибуционном анализе. Компании заявили, что эта инициатива позволит устранить несоответствия в отраслевых таксономиях наименований и распознать случаи, когда обе компании идентифицируют одни и те же группы угроз.
Альянс между давними конкурентами не требует принятия универсального стандарта наименования или изменения принципов, используемых CrowdStrike и Microsoft для обозначения групп угроз. Однако он устраняет путаницу, связанную с пересечением групп, которым разные компании присвоили разные названия.
Правила наименования групп угроз вызывают бурные споры среди специалистов по анализу угроз. Поставщики решений кибербезопасности, практикующие атрибуцию, стремятся указать свою принадлежность к отслеживаемым группам, однако это обычно создаёт путаницу и затрудняет для специалистов по безопасности сопоставление информации.
«Мы понимаем, что существует проблема. Мы понимаем, что наша изоляция в этом регионе создала ещё большую проблему для клиентов, пытающихся предотвратить эти угрозы», — рассказал CyberScoop Адам Майерс, старший вице-президент по противодействию злоумышленникам в CrowdStrike.
«Мы собираемся отложить все это в сторону и потратить часть аналитических ресурсов обеих компаний, чтобы попытаться развеять мифы и прояснить ситуацию для клиентов, чтобы им было проще это понять», — сказал он.
Мейерс надеется, что этот альянс создаст независимый ресурс, в который CrowdStrike, Microsoft и другие компании смогут вносить аналитические данные для создания постоянно обновляемого авторитетного руководства по группам угроз. Хотя CrowdStrike и Microsoft также обсуждали возможность предоставления этой информации через API, по его словам, пока она будет доступна в их блогах и продуктах.
«Мы собираемся сотрудничать с другими крупными поставщиками, которые также занимаются атрибуцией, чтобы объединить все это и работать по одному плану», — сказал Мейерс.
Компании Mandiant (Google) и Unit 42 (Palo Alto Networks) сообщили CyberScoop, что они уже работают с CrowdStrike и Microsoft над этой инициативой.
«Согласование правил наименования — это не просто приятное дополнение, а решающий фактор для защитников, стремящихся действовать быстро. Единая база данных имён источников угроз означает более быструю атрибуцию, более эффективное реагирование на кибератаки и меньше слепых зон», — написал в электронном письме Майкл Сикорски, технический директор и руководитель отдела анализа угроз в Подразделении 42.
«Непоследовательность в названиях может создать путаницу и потенциально нарушить скоординированные усилия по реагированию в рамках сообщества кибербезопасности», — сказал он. «Благодаря обмену информацией об угрозах и более тесному сотрудничеству мы можем лишить их преимущества до того, как они нанесут удар».
На практике это означает, что CrowdStrike, Mandiant, Microsoft и Unit 42 официально признают, что Midnight Blizzard, Cozy Bear, APT29 и UNC2452 — это одна и та же группа. Подобные связи не удивляют специалистов по анализу угроз, но в общедоступных отчётах об угрозах это не всегда очевидно.
Джо Слоуик, директор по стратегии оповещения о кибербезопасности в Dataminr, говорит, что в частных беседах аналитики угроз, работающие в разных компаниях, приходят к довольно хорошему соглашению относительно того, что они видят и на чем основывают свои атрибуции, но эти точки совпадения часто остаются на втором плане и маскируются или отфильтровываются в опубликованных исследовательских отчетах.
Слоуик сказал, что существующие правила наименования «добавляют лишнее напряжение». «В экосистеме, где, как мне кажется, у нас и так много дел, это добавляет ещё один слой задач, и, как мне кажется, это снижает эффективность и результативность больше, чем что-либо другое».
Задержки, составляющие всего несколько секунд, могут помешать организациям остановить кибератаку, заявил Джаккал в своём блоге. «Одной из основных причин задержки реагирования является понимание атрибуции источника угрозы, которое часто замедляется из-за неточных или неполных данных, а также несоответствий в наименованиях на разных платформах».
По словам Слоуика, CrowdStrike и Microsoft создают доверие к первичному источнику, совместно сопоставляя группы угроз и их различные псевдонимы, предоставляемые поставщиками, более формализованным образом.
«Это не бесполезно, но и не революционно», — сказал он.
«Это движение в сторону потенциальных решений. Это не решение», — добавил Словик. «Как минимум, это лишь подчёркивает суть проблемы: нам приходится заключать своего рода разовые соглашения между разными компаниями, чтобы сказать: „Хорошо, мы проработаем наши списки и выясним, где всё совпадает“».
По словам Мейерса, совместные учения по картированию знаменуют собой шаг вперед на пути к освобождению специалистов от необходимости выполнять эту рутинную работу самостоятельно.
Деловые интересы, маркетинговые возможности и различные источники данных будут продолжать создавать конфликты и определенный уровень сомнений в отношении разведданных об угрозах.
«Хотя было бы неплохо, если бы вся отрасль объединилась и договорилась о том, как это сделать, я не думаю, что это когда-либо сработает», — сказал Словик. «В обозримом будущем организации продолжат придерживаться собственных схем наименования и классификации. Я не думаю, что это изменится, несмотря на все усилия и сотрудничество».
Несмотря на факторы, препятствующие стандарту наименования групп угроз, самая важная цель — гарантировать, что защитники понимают, когда компании, занимающиеся анализом угроз, говорят об одной и той же группе с определенными границами, сказал Мейерс.
По его словам, соглашения об именовании у разных поставщиков различаются, отчасти потому, что исследователям угроз нужны системы, обеспечивающие гибкость.
«Это не идеально. Мы понимаем, что атрибуция — это одновременно и искусство, и наука, поэтому мы не всегда можем быть уверены в её правильности», — добавил Майерс.
«Это позволяет никому не быть вынужденным принимать аналитические суждения другой организации», — сказал он. «Мы можем выносить собственные аналитические суждения, поддерживать и защищать их».
Альянс между давними конкурентами не требует принятия универсального стандарта наименования или изменения принципов, используемых CrowdStrike и Microsoft для обозначения групп угроз. Однако он устраняет путаницу, связанную с пересечением групп, которым разные компании присвоили разные названия.
Правила наименования групп угроз вызывают бурные споры среди специалистов по анализу угроз. Поставщики решений кибербезопасности, практикующие атрибуцию, стремятся указать свою принадлежность к отслеживаемым группам, однако это обычно создаёт путаницу и затрудняет для специалистов по безопасности сопоставление информации.
«Мы понимаем, что существует проблема. Мы понимаем, что наша изоляция в этом регионе создала ещё большую проблему для клиентов, пытающихся предотвратить эти угрозы», — рассказал CyberScoop Адам Майерс, старший вице-президент по противодействию злоумышленникам в CrowdStrike.
«Мы собираемся отложить все это в сторону и потратить часть аналитических ресурсов обеих компаний, чтобы попытаться развеять мифы и прояснить ситуацию для клиентов, чтобы им было проще это понять», — сказал он.
Открытое приглашение к сотрудничеству в области CTI
Усилия по официальному признанию связей между известными группами угроз среди поставщиков начались с скоординированных заявлений от CrowdStrike и Microsoft , но компании предполагают, что со временем к ним присоединятся и другие конкуренты.Мейерс надеется, что этот альянс создаст независимый ресурс, в который CrowdStrike, Microsoft и другие компании смогут вносить аналитические данные для создания постоянно обновляемого авторитетного руководства по группам угроз. Хотя CrowdStrike и Microsoft также обсуждали возможность предоставления этой информации через API, по его словам, пока она будет доступна в их блогах и продуктах.
«Мы собираемся сотрудничать с другими крупными поставщиками, которые также занимаются атрибуцией, чтобы объединить все это и работать по одному плану», — сказал Мейерс.
Компании Mandiant (Google) и Unit 42 (Palo Alto Networks) сообщили CyberScoop, что они уже работают с CrowdStrike и Microsoft над этой инициативой.
«Согласование правил наименования — это не просто приятное дополнение, а решающий фактор для защитников, стремящихся действовать быстро. Единая база данных имён источников угроз означает более быструю атрибуцию, более эффективное реагирование на кибератаки и меньше слепых зон», — написал в электронном письме Майкл Сикорски, технический директор и руководитель отдела анализа угроз в Подразделении 42.
«Непоследовательность в названиях может создать путаницу и потенциально нарушить скоординированные усилия по реагированию в рамках сообщества кибербезопасности», — сказал он. «Благодаря обмену информацией об угрозах и более тесному сотрудничеству мы можем лишить их преимущества до того, как они нанесут удар».
На практике это означает, что CrowdStrike, Mandiant, Microsoft и Unit 42 официально признают, что Midnight Blizzard, Cozy Bear, APT29 и UNC2452 — это одна и та же группа. Подобные связи не удивляют специалистов по анализу угроз, но в общедоступных отчётах об угрозах это не всегда очевидно.
Джо Слоуик, директор по стратегии оповещения о кибербезопасности в Dataminr, говорит, что в частных беседах аналитики угроз, работающие в разных компаниях, приходят к довольно хорошему соглашению относительно того, что они видят и на чем основывают свои атрибуции, но эти точки совпадения часто остаются на втором плане и маскируются или отфильтровываются в опубликованных исследовательских отчетах.
Слоуик сказал, что существующие правила наименования «добавляют лишнее напряжение». «В экосистеме, где, как мне кажется, у нас и так много дел, это добавляет ещё один слой задач, и, как мне кажется, это снижает эффективность и результативность больше, чем что-либо другое».
Начало воздействия
CrowdStrike и Microsoft опубликовали список из более чем 80 групп угроз , сопоставленных с соответствующими названиями, присвоенными другими поставщиками решений безопасности. Целью справочника является повышение уверенности в идентификации групп угроз, упрощение сопоставления между платформами и отчётами, а также ускорение действий специалистов по безопасности, сообщил в своём блоге Васу Джаккал, вице-президент Microsoft по безопасности.Задержки, составляющие всего несколько секунд, могут помешать организациям остановить кибератаку, заявил Джаккал в своём блоге. «Одной из основных причин задержки реагирования является понимание атрибуции источника угрозы, которое часто замедляется из-за неточных или неполных данных, а также несоответствий в наименованиях на разных платформах».
По словам Слоуика, CrowdStrike и Microsoft создают доверие к первичному источнику, совместно сопоставляя группы угроз и их различные псевдонимы, предоставляемые поставщиками, более формализованным образом.
«Это не бесполезно, но и не революционно», — сказал он.
«Это движение в сторону потенциальных решений. Это не решение», — добавил Словик. «Как минимум, это лишь подчёркивает суть проблемы: нам приходится заключать своего рода разовые соглашения между разными компаниями, чтобы сказать: „Хорошо, мы проработаем наши списки и выясним, где всё совпадает“».
Множество факторов сужают сферу применения
Инициатива, возглавляемая CrowdStrike и Microsoft, не устраняет разрозненность в аналитике угроз; скорее, она сосредоточена на поиске общей позиции, когда поставщики могут публично согласиться с тем, что они видят очевидное совпадение в атрибуции групп угроз.По словам Мейерса, совместные учения по картированию знаменуют собой шаг вперед на пути к освобождению специалистов от необходимости выполнять эту рутинную работу самостоятельно.
Деловые интересы, маркетинговые возможности и различные источники данных будут продолжать создавать конфликты и определенный уровень сомнений в отношении разведданных об угрозах.
«Хотя было бы неплохо, если бы вся отрасль объединилась и договорилась о том, как это сделать, я не думаю, что это когда-либо сработает», — сказал Словик. «В обозримом будущем организации продолжат придерживаться собственных схем наименования и классификации. Я не думаю, что это изменится, несмотря на все усилия и сотрудничество».
Несмотря на факторы, препятствующие стандарту наименования групп угроз, самая важная цель — гарантировать, что защитники понимают, когда компании, занимающиеся анализом угроз, говорят об одной и той же группе с определенными границами, сказал Мейерс.
По его словам, соглашения об именовании у разных поставщиков различаются, отчасти потому, что исследователям угроз нужны системы, обеспечивающие гибкость.
«Это не идеально. Мы понимаем, что атрибуция — это одновременно и искусство, и наука, поэтому мы не всегда можем быть уверены в её правильности», — добавил Майерс.
«Это позволяет никому не быть вынужденным принимать аналитические суждения другой организации», — сказал он. «Мы можем выносить собственные аналитические суждения, поддерживать и защищать их».
