Yhteistyön tausta ja tavoitteet
Microsoft ja CrowdStrike ovat julkistaneet strategisen yhteistyön, jossa kyberuhkatoimijoiden nimet kartoitetaan ja linkitetään yhteiseen viiteoppaaseen ilman yhtä ainoaa standardia. Tarkoituksena on helpottaa kyberturvallisuusammattilaisten työtä monitoimittajaympäristöissä, joissa eri toimijat (kuten Microsoft, CrowdStrike, Google/Mandiant, Palo Alto Networks Unit 42) käyttävät omia nimityksiään samoista uhkatekijöistä.
Yksi suurimmista haasteista modernissa uhkatiedustelussa on ollut samaan toimijaan viittaavien nimien kirjo: esimerkiksi Microsoftin ”Midnight Blizzard” tunnetaan myös nimillä Cozy Bear, APT29 ja UNC2452 muiden toimittajien järjestelmissä. Tämä hajanaisuus vaikeuttaa tiedustelun hyödyntämistä, hidastaa reaktioaikaa ja aiheuttaa väärinymmärryksiä.
Uusi yhteinen viiteopas ja nimeämismallien kartoitus
Yhteistyön ensimmäinen vaihe on yhteisen viiteoppaan julkaisu, jossa yhdistetään Microsoftin ja CrowdStriken nimitykset samoille kyberuhkatoimijoille. Tämä mahdollistaa:
Nopeamman ja varmemman uhkatekijöiden tunnistamisen
Raporttien ja tietolähteiden ristiinviittauksen helpottumisen
Korkeamman luottamuksen uhkakartoitusten pohjalta tehtyihin päätöksiin
Nopeamman reagoinnin aktiivisiin uhkiin erityisesti laajoissa, monitoimittajaympäristöissä
Mukana on yli 80 merkittävää ja aktiivista toimijaa, joiden nimet on yhdistetty suoraan asiantuntijayhteistyönä. Tavoitteena ei ole yhdenmukaistaa kaikkia nimiä, vaan tarjota ”sanakirja”, jolla eri toimittajien nimet kääntyvät nopeasti toisikseen.
Yhteistyön laajeneminen ja alan standardointi
Google/Mandiant ja Palo Alto Networks Unit 42 ovat jo liittymässä yhteistyöhön. Kun useampi kyberturvatoimija osallistuu ja jakaa telemetriadataansa, hyöty kasvaa eksponentiaalisesti – luoden koko alalle uudenlaisen kyberuhkatiedustelun standardin. Tämän toivotaan jatkossa yksinkertaistavan uhkakartoitusta ja nostavan puolustuksen reagointikykyä merkittävästi.
Microsoftin uhkatoimijanimeämisen logiikka
Microsoft käyttää uhkatoimijoiden nimissä sään elementteihin perustuvaa luokittelua (esim. Blizzard = Venäjä, Typhoon = Kiina, Tempest = taloudellisesti motivoitunut). Nimen etuliitteet ja perheet mahdollistavat joustavan ja laajennettavan rakenteen. Myös tuntemattomille, kehitteillä oleville ryhmille annetaan väliaikainen ”Storm” + numero -nimeäminen.
