L’effort comparé à une «pierre de cyber rosetta» vise à réduire la fatigue alerte, à éliminer la duplication et à améliorer la réponse aux incidents.
Lorsque le même groupe de piratage russe se déroule à minuit, Blizzard, confortable, APT29 ou UNC2452, selon le vendeur de sécurité les suivant, vous savez qu’il y a un problème.
Microsoft et Crowdsstrike ont annoncé qu’ils travaillaient ensemble pour résoudre l’un des maux de tête les plus persistants de la cybersécurité: le réseau déroutant de noms utilisé pour identifier les mêmes acteurs de menace sur différentes plates-formes de sécurité.
Alors que ces deux entreprises mènent l’effort initial, l’unité 42 de Google et Palo Alto Networks a accepté de contribuer, a déclaré Microsoft dans un communiqué.
Le partenariat crée un système de cartographie partagé qui aligne l’attribution des acteurs de la menace entre les écosystèmes de renseignement des deux sociétés. L’objectif est simple – éliminer les retards et la confusion causés par des conventions de dénomination incohérentes qui tourmentent des équipes de sécurité pendant des années.
« Les adversaires se cachent derrière la technologie et la confusion créée par la dénomination incohérente », a déclaré Adam Meyers, responsable des opérations contre-adversaires à Crowdstrike, dans un communiqué. «En tant que défenseurs, c’est notre travail de rester en avance et de donner à des équipes de sécurité clarté sur qui les cible et comment réagir.»
Le véritable coût de la confusion du nom
Ce chaos de dénomination a de graves conséquences opérationnelles. Les analystes de la sécurité perdent entre 15 et 30% de leur temps en essayant de déterminer si différents noms comme «Lazarus Group», «Hidden Cobra» ou «Temp.Hermit» – tous se réfèrent à la même entité hostile, selon Brijesh Singh, directeur général supplémentaire de la police pour le gouvernement de Maharashtra, Inde, qui se spécialise dans la cybercriminalité et la cyberscuritante.
Prenez, par exemple, le célèbre groupe parrainé par l’État russe derrière la violation de Solarwinds. Microsoft l’appelle Midnight Blizzard, mais les équipes de sécurité pourraient le rencontrer comme un ours confortable, APT29, Nobelium, UNC2452, Dark Halo ou l’un des plus de 10 autres noms dans diverses entreprises de sécurité.
« Les équipes de sécurité obtiennent souvent plusieurs alertes sur le même groupe d’attaquants, mais chaque alerte utilise un nom différent. Cela signifie qu’ils perdent du temps à chasser le même problème plusieurs fois », a expliqué Singh. « Le temps précieux nécessaire pour réagir rapidement à une attaque est perdu tandis que les équipes sont occupées à corréler les noms de menaces. »
Kumar Avijit, vice-président du groupe Everest, a souligné les cas où la confusion a de réelles conséquences. « Dans la pratique, la coexistence de multiples alias pour le même adversaire a entravé la capacité des équipes de sécurité à corréler rapidement les flux de renseignement, à partager les résultats et à hiérarchiser les actions de réponse », a déclaré Avijit. « Cette inadéquation peut entraîner des efforts dupliqués, retarder la réponse des incidents et laisser des lacunes dans la couverture lorsque les défenseurs supposent qu’ils suivent des menaces distinctes. »
Construire un guide de traduction, pas une norme
La collaboration est axée sur les analystes, en se concentrant sur l’harmonisation des profils adversaires connus grâce à une coopération directe entre les équipes de recherche sur les menaces des entreprises. Déjà, l’effort a conduit à l’alignement sur plus de 80 acteurs de menace, confirmant des connexions qui avaient été incertaines auparavant.
Les entreprises décrivent leur effort comme créant une «pierre de rosetta» pour l’intelligence cyber-menace – un guide de référence qui traduit les noms d’acteurs de menace à travers les systèmes de dénomination sans forcer personne à adopter une seule norme de l’industrie.
La taxonomie sur le thème météorologique de Microsoft classe les acteurs en cinq groupes: acteurs de l’État-nation, acteurs motivés financièrement, acteurs offensifs du secteur privé, influence les opérations et les groupes en développement. Les familles météorologiques indiquent l’attribution des pays – le typhon pour la Chine, le blizzard pour la Russie – ou la motivation, comme Tempest pour les acteurs motivés financièrement.
La collaboration valide des connexions spécifiques, telles que confirmer que Vanguard Panda de Crowdstrike et Volt Typhoon de Microsoft représentent tous deux le même groupe de menaces China-Nexus. De même, le blizzard secret et l’ours venimeux ont été identifiés comme des alias pour un acteur affilié à l’État russe connu.
« Cet effort ne consiste pas à créer une seule norme de dénomination », a déclaré Vasu Jakkal, vice-président de l’entreprise de Microsoft Security, dans le communiqué. «Au contraire, il est censé aider nos clients et la communauté de sécurité plus large à aligner plus facilement les renseignements, à répondre plus rapidement et à rester en avance sur les acteurs de la menace.»
« Bien que les noms consultatifs auraient pu être effectivement utilisés pour les corrélations, le manque de dénomination standard était un grand défi », a déclaré Sunil Varkey, conseiller chez Beagle Security. «Les corrélations se produisaient principalement grâce à la corrélation basée sur le TTP, au CIO ou à d’autres méthodes, ce qui n’a donné que des opinions fragmentées, conduisant à des réponses retardées, à la fatigue des analystes et aux incohérences.»
Défis à venir
Malgré la promesse, les experts identifient plusieurs obstacles potentiels qui pourraient compliquer la mise en œuvre. Singh note que différentes sociétés de sécurité pourraient avoir différents niveaux de certitude sur qui est derrière une attaque, ce qui rend compte de s’entendre sur un seul nom lorsque les niveaux de confiance diffèrent.
« Les groupes de cyberattaquants ne restent pas statiques. Ils peuvent se séparer ou unir leurs forces avec les autres, ce qui rend difficile de continuer à nommer cohérent au fil du temps », a expliqué Singh. Il avertit que les attaquants ciblant des régions spécifiques pourraient être négligés: «Les attaquants ciblant spécifiquement l’Inde, tels que« Sidewinder »ou« tribu transparente », pourrait ne pas être aussi bien connu à l’échelle mondiale et pourrait être négligé dans un système de nommage mondial.»
Singh a souligné les implications plus larges pour les régions en développement: «Lorsque de nouvelles attaques ou groupes d’attaquants apparaissent, la mise à jour du système de dénomination partagé pourrait prendre du temps, ce qui signifie que les informations pourraient être légèrement derrière le paysage des menaces en temps réel.»
Avijit a souligné que chaque fois qu’un vendeur introduit une nouvelle étiquette – Microsoft renommant «Strontium» à «Forest Blizzard» ou Crowdsstrike invenant «Kryptonite Panda» – le registre de cartographie doit être mis à jour. « Le fait de ne pas incorporer rapidement ces modifications Riscs Retroductant la confusion que l’initiative cherche à résoudre », a-t-il déclaré.
Une bonne analogie est le système de dénomination du cyclone, qui a évolué à travers des décennies de coordination internationale pour résoudre la confusion pendant les urgences météorologiques – tout comme ce que le monde de la cybersécurité tente maintenant, a déclaré Varkey.
Lire plus approfondie:
- Les 10 acteurs de cyber-menace les plus dangereux
- The Dirty Dozen: 12 pires groupes de ransomware actifs aujourd’hui
