Microsoft e CrowdStrike hanno annunciato una collaborazione strategica per allineare le rispettive tassonomie dei threat actor attraverso la pubblicazione di una nuova mappatura congiunta degli attori delle minacce. Questo passo rappresenta una svolta significativa nel campo della cybersecurity, dove la confusione generata dalla molteplicità di soprannomi dati ai gruppi hacker da diversi vendor rende complesso per aziende e analisti attribuire correttamente le attività malevole.

Le due aziende hanno lavorato per mappare e deconfliggere oltre 80 attori delle minacce, fornendo così una base comune che consente ai professionisti della sicurezza di collegare più rapidamente le informazioni e prendere decisioni con maggiore sicurezza. L’iniziativa nasce dalla necessità di semplificare il panorama delle denominazioni: spesso infatti i gruppi di cybercriminali vengono identificati con nomi diversi a seconda del vendor, a prescindere che si tratti di gruppi sponsorizzati da stati, attori con fini finanziari, operazioni di influenza o hacker del settore privato.

Esempi di gruppi e nuove nomenclature

Un esempio eclatante è rappresentato dal gruppo russo noto a Microsoft come Midnight Blizzard (ex Nobelium), che è anche identificato come APT29, Cozy Bear, Cloaked Ursa, BlueBravo, Iron Hemlock e The Dukes. Allo stesso modo, Forest Blizzard (ex Strontium) viene chiamato anche Fancy Bear, Pawn Storm, Sednit, TA422, e altri. Da aprile 2023 Microsoft ha inoltre adottato una nomenclatura basata su temi meteorologici per identificare gli attori delle minacce, abbandonando i nomi ispirati agli elementi chimici.

Obiettivi della mappatura congiunta

La nuova mappa di corrispondenza dei threat actor non si propone di creare uno standard unico di denominazione, ma di facilitare la correlazione tra gli alias utilizzati dai principali attori della cybersecurity, migliorando così la chiarezza nelle analisi e nelle risposte agli incidenti. Secondo CrowdStrike, questa alleanza funziona come una sorta di "Stele di Rosetta" della cyber threat intelligence, permettendo di estendere l’attribuzione su più piani e vettori e offrendo una visione più ricca e accurata delle campagne avversarie.

Prospettive future e coinvolgimento del settore

Anche altri leader del settore come Google, Mandiant e Palo Alto Networks Unit 42 sono attesi tra i futuri partecipanti a questa iniziativa, che rimane aperta ad ulteriori contributi della community. In questo modo, la collaborazione intende ridurre la confusione sulle attribuzioni, aumentare la fiducia negli insight e velocizzare la risposta agli incidenti, fornendo un punto di riferimento condiviso per tutto l’ecosistema della sicurezza informatica.