为了解决不同安全研究机构以不同命名指称同一骇客组织造成的混淆,微软、CrowdStrike宣布合作发展参照指引,方便网路攻击与防御资讯更快速分享。
由于过去资安社群之间并没有为骇客统一命名的规定,因此出现同一个骇客组织,微软称为Midnight Blizzard,别人称为Cozy Bear、APT 29或UNC2452。这种命名不一致造成资安资讯流通阻碍,也减缓攻击回应速度。
为此微软和CrowdStrike公布第一版参照指引,作为双方骇客组织命名的对照。这份指引包含微软和CrowdStrike追踪的共通行为者(如骇客组织)的清单,以及各自如何分类,并且将彼此的分类建立参照。例如微软列出骇客组织的名称后,列出其来源国家,再列出其他人对这组织的命名。例如北韩的Diamond Sleet,别家业者的称呼包括ZINC、Labyrinth Cholima、Black Artemis和Lazarus。
双方表示,这参照指引并不是要建立单一命名共通标准,而是希望起头带动业界不同命名系统相互「翻译」,使资安防御运作更快速,尤其对那些需要整合多家厂商提供网路攻击资讯的环境中。透过彼此命名的参照,可更有效辨识攻击者、简化多平台和报表的关联,以及加速建立防御工事。
除了微软和CrowdStrike率先合作沟通命名,Google/Mandiant和Palo Alto Networks Unit 42未来也会加入。