bencede
New member
Apt ve BT Suç Çetesi: Karşılaştırma üreticinin adı ile ne taşıyor
Dolandırıcı Bildirim
Bu makale bu nedenle İngilizce olarak mevcuttur. Yayınlamadan önce teknik yardım ve editoryal revizyon ile çevrildi.
Bir daha gösterme.
“Pirinç Typhoon” “Kötü Panda” ve “Ghost Blizzard” “Berserk Bear” a karşılık gelir: Bu ve Siber suç gruplarının isimlerinin ve diğer açık ödevleri, Microsoft ve Crowdstrike arasında pekiştirilen işbirliğinin ilk görünür sonucudur.
Çabaların amacı, iki üretici arasındaki yeni tehditler açısından tam ve zamanında taksonominin karşılaştırılmasıdır. Microsoft'un duyurusuna göre, Google Mandiant ekibi ve Palo Altos 42'nin 42 birimi gelecekte işbirliğine katılmak istiyor.
Şimdiye kadar plan. Fakat gerçekte karşılaştırma getiren nedir ve güvenlik yöneticileri özellikle taksonominin eşlemesi ile ne yapabilir? Mevcut gelişimi sınıflandırıyoruz, isimlerin karşılaştırılmasının önceki ara puanına bir göz atıyoruz ve burada ne kadar yararlı olduğunu doğruluyoruz.
Katma Değer: Daha Güvenilir Ödevler …
Her şeyden önce, Microsoft ve Crowdstrike arasındaki işbirliğinin sadece sistematik olarak İsimlerin karşılaştırılması Hala; al Farklı adaylık Şirketin bilgisayar suçlu oyuncuları gelecekte hiçbir şeyi değiştirmeyecek.
Bununla birlikte, toplanan tehditlerle ilgili bilgilere dayanan iki üreticinin birlikte gerçek görevler, BT suçunun kaosunun geliştirilmesinde gerçek bir ilerleme olması. Şimdiye kadar, üreticinin adlarının eşlenmesi esas olarak “dışarıdan”, örneğin BSI veya MITR ve İngiltere Bilgi Veritabanının bir parçası olarak. Denklemler ilgili şirketler tarafından resmi olarak onaylanmamıştır. İşbirliği ve doğrudan değişimleri artık güvenilir – ve her şeyden önce bağlayıcı isimler umuyor.
… ve devredilebilir tehdit hakkında bilgi
Bu bağlanma pozisyonları, güvenlik kazaları durumunda değerli zamandan tasarruf etmeye yardımcı olabilir. Bir örnek: uygun bir saldırıdan etkilenen bir şirket, ticari ortakları yok olma sürecinde uyarmak istiyor. Avantajlar başka bir güvenlik yazılımına sahip olabilir ve ilgili tehdit için güvenilir alternatif üreticilerin isimlerinin bilgisinden yararlanabilir.
Taksonomi ile karşılaştırmanın bir başka katma değeri: bilgilerin ilgili APT grupları veya BT suçu üzerindeki erişilebilirliğini artırır. Çünkü yapımcı ekipler işbirliği yaptıklarında farklı bir şekilde atanan grupları tanıdıklarında, kendilerine atanan tehditlerin verileri de aktarılabilir.
Bu bilgi araştırmasına yardımcı olur. Örneğin, Crowdstrike'ın iç koruması aniden “Vanguard Panda” konusunda uyarıyor, Microsoft'un eşdeğer “Typhoon Volt Typhoon” a göre daha fazla çevrimiçi araştırma, savunma, düzenleme veya önleyici ölçümlere daha fazla referans sağlayabilir.
Microsoft tarafından tanımlanan tipik uzlaşma göstergeleri (uzlaşma göstergeleri, IOC) ayrıca Crowdtrike muadili için belirli bir bilgisayar suçu grubu için geçerlidir ve bu nedenle IOC tarayıcısının Thor Lite'ında bir sistem taraması için doğrudan bunları beslemek için kullanılabilir. Aynı şey mevcut Yara kuralları veya tehditlerin zekası için besleme için de geçerlidir. Bu nedenle, güvenlik yöneticileri tekerleği sürekli olarak yeniden keşfetmemelidir.
Ara durum: (tekrar) gerçekten pratik değil
Şimdi açıklandığı gibi açıklandığı gibi ayaklarınızın önüne düşerseniz, elbette, isimlerin sonuçlarını olabildiğince çabuk çağırmak istersiniz.
Şimdiye kadar gerçekten mümkün olmayan şey budur. Üreticinin çabalarının önceki ara durumu, CrowdStrike'tan Microsoft gruplarının isimlerine sadece 80'den fazla ödev, sadece Crowdstrike web sitesinde kalabalık bir Excel tablo (!) Olarak mevcuttur. Tehdit durumunda, bunları indirmeli ve belgeyi manuel olarak aramalı ve altta Volt Typhoon ile karşılaşmalısınız. Çevrimiçi veya benzer arama arayüzleri yoktur.
Bilgi, ancak hantal: Crowdstrike Excel belgesi isim atamalarıyla.
(Resim: ekran görüntüsü)
Buna ek olarak, Microsoft GitHub'da yalnızca ödevlerle birlikte A -KAIN tablosuna ek olarak bir JSON sürümü yayınladı. Buna ek olarak, bir blog yayınında şirket, Sentinel, Microsoft 365 Defender ve Azure Data Explorer'dan özel bir soru kullanarak ad üzerindeki bilgi çağırma olasılığını ifade eder.
Taksonominin haritalandırılmasının görünümü: CrowdStrike'ın takma adına ek olarak Microsoft, bazı gruplar için önceden doldurulmayan adları listeler.
(Resim: Screenshot / Microsoft.com)
Burada da söyleyebiliriz: Basit ve hızlı arama seçenekleri farklı görünüyor. Microsoft tablosunda, Crowdstrike grubuna ek olarak, diğer üreticilerin isimleri de olduğunu da karıştırıyor. Bu isimler arasında belirli şirketlere açık bir görev yoktur. Bu ek bilginin, diğer güvenlik ekipleriyle doğrudan bir içerik alışverişinin sonucu olup olmadığı veya yalnızca Microsoft'un değerlendirmesine dayalı olup olmadıkları da açık değildir. Örneğin Microsoft, Hollanda Gizli Servisi'nin “Çamaşırhane” sözlü (rakun?), Ancak Crowdstrike'da görünmeyen.
Çok fazla alanla iyi fikir
Örneklerimiz, Microsoft ve CrowdStrike tarafından başlatılan isimlerin karşılaştırılmasının birçok yönden yararlı bir proje olduğunu göstermektedir. Bununla birlikte, halkın erişilebilirliği ve bilgi arayışı, özellikle taksonomi haritalarının gelecekte sürekli olarak korunması ve genişletilmesi gerektiği arka planda genişletilebilir.
Ayrıca, birden fazla şirketin gelecekte karşılaştırmaya katılacağı anlamına gelir, böylece içerikle ilgili önemli faydalar artmaya devam eder. Ve katılımcıların birbirleriyle dikkatli ve vicdanlı bir şekilde baktıkları. Çünkü iyi olsa da, işbirliği fikri, yanlış ödevler, aksine, aynı zamanda ciddi hasar verme potansiyeline sahiptir.
CrowdStrike'tan ek bir işbirliği için hazırlıkların devam ettiği bir katkı görebilirsiniz: Microsoft ve CrowdStrike liderliğindeki “küçük bir grupla başlamak ve bir katkıya odaklanmak” istiyorsunuz. Microsoft tarafından bahsedilen Google/Mandiant ve Palo Alto Palo henüz kendilerini ifade etmediler. O zamana kadar, güvenlik araştırmacısı Florian Roth tarafından korunan “Gruplar ve Operasyonlar ve Operasyonlar Sayfası”, güvenlik topluluğunda isimlerin atanması için çok büyük bir referans sunuyor.
(Ju)
Ne yazık ki, bu bağlantı artık geçerli değil.
Boşa harcanan eşyalara olan bağlantılar, 7 günlük daha büyükse veya çok sık çağrılmışsa gerçekleşmez.
Bu makaleyi okumak için bir Haberler+ paketine ihtiyacınız var. Şimdi yükümlülük olmadan bir hafta deneyin – yükümlülük olmadan!