Microsoft、Google、CrowdStrike、Palo Alto の大規模なセキュリティ用語集はコラボレーションを改善するでしょうか?

脅威アクターグループは、セキュリティ企業によって異なる分類法で同じ脅威を指すため、多種多様なニックネームで知られています。命名システムを合理化するため、Microsoft、CrowdStrike、Palo Alto Networks、Googleは、同じ脅威アクターグループに使用される異なる別名をマッピングした共通用語集を公開します。

しかし、ロイター通信が報じたように、脅威インテリジェンスは独自の研究やブランドの評判と結びついていることが多く、サイバーセキュリティ企業間での情報共有はデリケートな問題となっています。そのため、一部の専門家は、この取り組みが企業の連携方法に意味のある変化をもたらすかどうか疑問視しています。

真夜中の吹雪かコージーベアか？

サイバーセキュリティ企業によって命名システムは様々ですが、マイクロソフトは脅威アクターを分類するために天気をテーマにした用語を割り当てており、脅威の出身国、活動の種類、脅威が新たに出現したかどうかといった要素を示しています。

マイクロソフトがMidnight Blizzardと呼ぶロシアを拠点とするグループは、CrowdStrikeではCozy Bearと呼ばれ、MITREではより正式な名称としてAPT29と呼ばれています。イランを拠点とする別の脅威グループは、Mint Sandstorm、Phosphorus、Charming Kitten、APT35など、様々な名称で知られています。

これらの命名規則を橋渡しするために、Microsoft と CrowdStrike は、両社が追跡している脅威グループのエイリアスのマッピングを開始しました。

「この取り組みは、単一の命名基準を作ることではありません」と、マイクロソフト セキュリティ担当コーポレートバイスプレジデントのヴァス・ジャッカル氏は6月2日のブログ投稿で述べています。「むしろ、お客様やセキュリティコミュニティ全体が、より容易に情報を共有し、より迅速に対応し、脅威アクターの先手を打つことができるよう支援することを目的としています。」

参照: 新しいマルウェア詐欺は、  B2B 販売ツールや ChatGPT などの AI サービスのダウンロードを装っています。

ジャッカル氏はまた、この用語集を、組織が複数の命名システムを翻訳し、セキュリティへの取り組みをより効果的に調整するのに役立つ「出発点」であると説明しました。

用語集に貢献する最初の2社はMicrosoftとCrowdStrikeだが、Google（および同社が所有するサイバーセキュリティ企業Mandiant）とPalo Alto Networksの脅威研究チームUnit 42も、今後未公開の日付で情報を共有する予定だ。

これはセキュリティ会社がすべての情報を共有するという意味ではない

ロイター通信は、2016年のある事例では、単一のハッカーネットワークが48もの異なるニックネームに関連付けられていたと指摘しており、アトリビューションがいかに断片化しているかを浮き彫りにしています。用語集は、相互参照可能なエイリアスリストを提供することで、防御側が関連する脅威アクターをより迅速かつ正確に結び付けるのに役立ちます。

それでもなお、懐疑的な見方は残る。センチネルワンの情報・セキュリティ調査担当エグゼクティブディレクター、フアン・アンドレス・ゲレロ＝サーデ氏はロイター通信に対し、サイバーセキュリティ企業は情報を溜め込む傾向があるため、今回の取り組みは通常業務に付け加えられた「ブランディングとマーケティングの魔法の粉」のようなものにしか思えないと語った。

こちらもご覧ください

• アップル、DMAに控訴、EUは「イノベーションを阻害する重大な欠陥のある規則」を持っていると主張
• 境界防御を超えて：攻撃対象領域管理をビジネス促進に
• 北朝鮮のノートパソコン農場詐欺：「これまで見たことのないもの」
• サイバーセキュリティ：さらに読むべき記事