Se você já tentou entender quem está por trás de um ciberataque, sabe que a tarefa pode ser confusa. Cada empresa de segurança tem seu próprio jeito de nomear grupos de hackers, e o resultado é uma salada de siglas e apelidos que mais atrapalha do que ajuda.
Felizmente, Microsoft e CrowdStrike decidiram que já chega de confusão. As duas gigantes anunciaram uma parceria para mapear e conectar os diferentes nomes usados para os mesmos grupos de ameaças, criando uma espécie de “Google Tradutor” para cibercriminosos.
O problema dos múltiplos nomes
Imagine que um mesmo grupo de hackers seja chamado de:
- Microsoft: Midnight Blizzard
- CrowdStrike: Cozy Bear
- E até mesmo de APT29 ou UNC2452 por outras companhias;
Sem um padrão único, os profissionais de segurança perdem tempo tentando descobrir se estão lidando com uma nova ameaça ou apenas com um velho conhecido denominado de outra forma.
Agora, Microsoft e CrowdStrike estão criando um guia de referência que liga os nomes usados por cada empresa, permitindo que analistas traduzam rapidamente entre uma nomenclatura e outra.
Vasu Jakkal, vice-presidente corporativa de Segurança da Microsoft, explica que o objetivo não é criar um único padrão de nomenclatura, mas sim facilitar a correlação de inteligência entre diferentes fontes.
“Este guia serve como um ponto de partida, uma forma de traduzir entre sistemas de nomes para que os defensores possam trabalhar mais rápido e com mais eficiência.”
Ou seja, não vão acabar com a Torre de Babel da segurança cibernética, mas pelo menos vão entregar um dicionário.
Além de Microsoft e CrowdStrike, empresas como Google e Palo Alto Networks já confirmaram participação.
E a tendência é que mais players do setor se juntem no futuro. Afinal, ninguém gosta de ficar perdido em um mar de siglas aleatórias.
Para ilustras vejamos o sistema de nomes da a Microsoft baseado em fenômenos meteorológicos. Se um hacker é chinês, pode ser um “Typhoon”. Se é russo, vira “Blizzard”. Se está atrás de grana, é um “Tempest”.
Algumas categorias principais:
- Nation-state actors (grupos patrocinados por governos) → Ex.: Typhoon (China), Blizzard (Rússia);
- Financially motivated (criminosos por dinheiro) → Ex.: Tempest;
- Private sector offensive actors (empresas que vendem spyware) → Ex.: Tsunami;
- Influence operations (desinformação) → Ex.: Flood.
E se o grupo ainda não foi totalmente identificado? Ganha um “Storm” seguido de um número aleatório.
O que isso significa para os profissionais de segurança?
Com essa colaboração, a expectativa é que a identificação de ameaças seja mais rápida, a resposta a incidentes seja mais eficiente e que a comunidade de segurança trabalhe de forma mais alinhada.
Adam Meyers, da CrowdStrike, resumiu:
“CrowdStrike e Microsoft estão orgulhosas de dar o primeiro passo, mas sabemos que isso precisa ser uma iniciativa liderada pela comunidade para ter sucesso.”
Ou seja, a brincadeira só está começando. E, se tudo der certo, da próxima vez que alguém falar em “Blizzard”, você já saberá se é um hacker russo ou apenas a previsão do tempo.Fique por dentro das principais notícias da semana sobre tecnologia e Linux: assine nossa newsletter!
