Один враг, десятки имён, тысячи отчётов — как путаница в наименованиях мешает исследователям
NewsMakerИндустрия годами спорила, как называть хакеров, пока Microsoft не положила бардаку конец.
В индустрии кибербезопасности каждый крупный игрок использует собственные наименования для группировок, занимающихся атаками на компании и государственные структуры. Это всегда создавало проблемы — аналитики могли говорить об одном и том же противнике, но называть его совершенно разными именами. В результате расследования затягивались, а обсуждения между специалистами напоминали игру в испорченный телефон.
На этом фоне Microsoft и CrowdStrike объявили о запуске совместной инициативы: они объединили свои системы наименования групп и опубликовали обновлённый справочник, где каждый актор угроз сопоставляется сразу по нескольким таксономиям. Такой подход не превращает рынок в единое информационное болото, но позволяет специалистам быстрее находить общие точки и говорить на одном языке, даже если речь идёт о разных названиях одной и той же хакерской группы.
По словам руководителя направления безопасности в Microsoft, новая база стала отправной точкой для быстрой идентификации злоумышленников и повышения эффективности расследований. Теперь в ситуации, когда в организации есть отчёты сразу от нескольких поставщиков, не придётся тратить время на ручной разбор совпадений: всё сведено в один понятный справочник.
Среди будущих участников проекта названы Google/Mandiant и Unit 42 из Palo Alto Networks, которые также предоставят свои данные для ускорения идентификации. Microsoft рассчитывает, что к этой инициативе подключатся и другие крупные игроки, что позволит значительно повысить прозрачность рынка киберразведки и ускорить реагирование на атаки.
В компании отметили, что главная цель — не установить жёсткий стандарт, а дать специалистам инструмент для быстрой синхронизации между собой. Уже сейчас удалось устранить путаницу в именах для более чем 80 активных группировок — речь идёт о самых опасных и технически оснащённых командах, действующих по всему миру.
В перспективе альянс обещает развитие: базы будут регулярно пополняться новыми именами, а в будущем предполагается автоматический обмен телеметрией между участниками. Это заметно упростит работу и сделает отчёты компаний более совместимыми.
Microsoft и CrowdStrike уверены, что индустрии нужна именно совместная работа и добровольная синхронизация, а не попытки подмять всё под одну схему. Инициатива открыта для новых участников и рассчитана на то, чтобы устранить хаос в именах и избавить защитников от головной боли, когда нужно понять, кто на самом деле стоит за атакой.
В индустрии кибербезопасности каждый крупный игрок использует собственные наименования для группировок, занимающихся атаками на компании и государственные структуры. Это всегда создавало проблемы — аналитики могли говорить об одном и том же противнике, но называть его совершенно разными именами. В результате расследования затягивались, а обсуждения между специалистами напоминали игру в испорченный телефон.
На этом фоне Microsoft и CrowdStrike объявили о запуске совместной инициативы: они объединили свои системы наименования групп и опубликовали обновлённый справочник, где каждый актор угроз сопоставляется сразу по нескольким таксономиям. Такой подход не превращает рынок в единое информационное болото, но позволяет специалистам быстрее находить общие точки и говорить на одном языке, даже если речь идёт о разных названиях одной и той же хакерской группы.
По словам руководителя направления безопасности в Microsoft, новая база стала отправной точкой для быстрой идентификации злоумышленников и повышения эффективности расследований. Теперь в ситуации, когда в организации есть отчёты сразу от нескольких поставщиков, не придётся тратить время на ручной разбор совпадений: всё сведено в один понятный справочник.
Среди будущих участников проекта названы Google/Mandiant и Unit 42 из Palo Alto Networks, которые также предоставят свои данные для ускорения идентификации. Microsoft рассчитывает, что к этой инициативе подключатся и другие крупные игроки, что позволит значительно повысить прозрачность рынка киберразведки и ускорить реагирование на атаки.
В компании отметили, что главная цель — не установить жёсткий стандарт, а дать специалистам инструмент для быстрой синхронизации между собой. Уже сейчас удалось устранить путаницу в именах для более чем 80 активных группировок — речь идёт о самых опасных и технически оснащённых командах, действующих по всему миру.
В перспективе альянс обещает развитие: базы будут регулярно пополняться новыми именами, а в будущем предполагается автоматический обмен телеметрией между участниками. Это заметно упростит работу и сделает отчёты компаний более совместимыми.
Microsoft и CrowdStrike уверены, что индустрии нужна именно совместная работа и добровольная синхронизация, а не попытки подмять всё под одну схему. Инициатива открыта для новых участников и рассчитана на то, чтобы устранить хаос в именах и избавить защитников от головной боли, когда нужно понять, кто на самом деле стоит за атакой.