En el panorama cibernético actual, la rápida respuesta ante un ataque puede ser crítica, ya que incluso unos pocos segundos de retraso pueden determinar si una organización se convierte en víctima de ransomware. Uno de los principales obstáculos que provocan estas demoras es la dificultad para atribuir correctamente la actividad de los actores de amenaza, exacerbada por la existencia de datos inexactos o incompletos y por las inconsistencias en la nomenclatura de las plataformas. Esta falta de claridad redunda en una disminución de la confianza, complica el análisis y retrasa la toma de decisiones en situaciones críticas.
Con el objetivo de mejorar esta situación, el Instituto Nacional de Normas y Tecnología (NIST) ha publicado guías sobre el intercambio de amenazas cibernéticas (SP 800-1501), las cuales sugieren que alinear las descripciones y clasificaciones de las amenazas cibernéticas puede aumentar la comprensión, la coordinación y, en última instancia, la postura general de seguridad de las organizaciones.
Colaboración entre Microsoft y CrowdStrike
Con este contexto en mente, Microsoft y CrowdStrike han anunciado una colaboración destinada a alinear sus taxonomías sobre actores de amenaza. Al mapear las similitudes en sus entendimientos respectivos de estos actores, ambas empresas buscan facilitar a los profesionales de la seguridad una mayor rapidez en la conexión de ideas y en la toma de decisiones más informadas.
La identificación precisa de los actores de amenaza es crucial para dar sentido al panorama de amenazas y para categorizar comportamientos cibernéticos conocidos o presumibles. Microsoft ha desarrollado su propia taxonomía de actores de amenaza, la cual ayuda a investigadores y defensores a identificar y actuar con base en las amenazas, sustentada por las 84 billones de señales de amenaza que procesa diariamente la compañía. Sin embargo, un mismo grupo puede ser denominado de diferentes maneras según el proveedor; por ejemplo, Midnight Blizzard por Microsoft puede ser conocido como Acogedor Bear, APT29 o UNC2452 por otros. Esta falta de consistencia en la nomenclatura puede generar confusión entre los clientes, quienes buscan claridad.
Guía de referencia para actores de amenaza
Para abordar esta situación, Microsoft y CrowdStrike han lanzado la primera versión de una guía de referencia conjunta que incluye una lista de actores comunes rastreados por ambas compañías, identificados de acuerdo con sus respectivas taxonomías y con los alias correspondientes. Esta guía actúa como una herramienta de traducción entre los sistemas de nomenclatura, ayudando a los defensores a operar de manera más eficiente, en particular en entornos donde se manejan ideas de múltiples proveedores. Las ventajas de esta guía de referencia incluyen:
- Mejora en la confianza: Facilita la identificación de actores de amenaza.
- Racionalización: Acelera la correlación de datos a través de plataformas e informes.
- Agilidad: Permite a los defensores actuar más rápidamente frente a las amenazas activas.
Es importante destacar que este esfuerzo no busca establecer un único estándar de nomenclatura, sino que se enfoca en ayudar a los clientes y a la comunidad de seguridad a alinear la inteligencia con mayor facilidad, responder más rápidamente y adelantarse a los actores de amenaza.
Futuras colaboraciones
Este primer mapeo es solo el inicio de una colaboración entre Microsoft y CrowdStrike, y se anticipa que empresas como Google/Mandiant y Palo Alto Networks Unidad 42 también se involucren en este esfuerzo. La seguridad es vista como una responsabilidad compartida que requiere la colaboración de toda la comunidad para mejorar las defensas.
Para aquellos interesados en más información acerca de soluciones de seguridad de Microsoft, se les invita a visitar su sitio web y seguir sus canales de comunicación en plataformas como LinkedIn y Twitter para mantenerse al tanto de las últimas novedades en ciberseguridad. La colaboración y el intercambio de información son cruciales para afrontar los desafíos de seguridad actuales.
Nota: Esta información se basa en el documento SP 800-150 del NIST, guía para el intercambio de información sobre amenazas cibernéticas, publicada en octubre de 2016.