在当今数字化和互联网高度融合的时代,网络安全已经成为全球关注的重中之重。各种网络攻击手段层出不穷,威胁行为体数量庞大且名称繁杂,给网络安全行业带来了巨大的挑战。微软和CrowdStrike近日宣布,双方正领导一项行业合作项目,旨在映射并统一对威胁行为体的命名,以便安全社区更好地对齐情报,提高对攻击者的识别和应对效率。当前,网络安全领域存在众多针对同一威胁行为体但由不同研究机构或安全厂商赋予不同名称的现象。举例来说,通常被称为APT41的中国背景高级持续威胁组织,还被称作Bronze Atlas、Earth Baku、Wicked Panda和Winnti等多个名字。同样的,俄罗斯关联的APT28也拥有Fancy Bear、Forest Blizzard、Sednit、Sofacy和Tsar Team等多重别名。
这种命名混乱导致安全从业人员在分享和整合情报时面临巨大障碍。微软采用天气主题的命名体系,例如Blizzard代表俄罗斯,Typhoon代表中国,而CrowdStrike则倾向于使用动物主题,比如Panda对应中国,Bear象征俄罗斯,Spider则代表网络犯罪集团。与此同时,谷歌旗下的Mandiant保持APT编号和UNC编号格式,方便快速识别。由于各家命名体系各异,整个行业难以形成统一标准。CrowdStrike强调,尽管不可能让整个行业对威胁组织的命名统一,但将不同名称清晰映射,增强威胁归因的透明度和一致性是至关重要的。该项目的核心在于将微软赋予的名称与CrowdStrike及其他厂商对应的命名对应起来,形成一个互通的对照表。
CrowdStrike指出,这种联盟将帮助行业更好地关联威胁行为体的多个别名,避免强加单一标准,并计划未来吸纳更多具备威胁归因能力的组织参与。与此同时,通过整合多方情报和遥测数据,安全社区有机会跨多个层面和矢量实现更彻底的行为体归因,构建更加精准丰富的威胁活动视图,惠及整个网络安全生态。微软表示,这项倡议有助于提升对威胁组织识别的信心,加快情报的关联速度以及加快防御响应。该公司明确指出,这一努力并非意在打造单一命名标准,而是为用户和安全社区提供更方便的情报协调方式,使安全防御能更快地应对和超越威胁行为体。除了微软和CrowdStrike,谷歌(Mandiant)以及Palo Alto Networks也将参与合作,充分利用各自庞大的数据资源支持这一命名映射项目。值得一提的是,德国弗劳恩霍夫通信信息处理与人体工效学研究所维护的Malpedia网站,长年来致力于追踪威胁组织的不同名称及其关联的恶意软件家族,该平台已成为业内一大重要资源。
尽管如此,由微软、谷歌、CrowdStrike和Palo Alto Networks等技术巨头发起的跨厂商协作,凭借其丰富资源和广泛影响力,有望进一步推动行业命名映射的标准化和实效性。网络攻击方式不断演变,越来越多的高级威胁组织展开针对政府、军工、金融以及供应链等高价值目标的精准攻击。名称映射工作的完善,不仅可以帮助安全团队准确识别攻击源,提升威胁响应速度,也能助力威胁情报共享和法律执法动作的跨国协作。通过多方携手打造统一的威胁行为体映射体系,安全行业能够更有效地打破情报孤岛,推动生态协同发展,增强全球网络空间的安全防御能力。未来,随着人工智能和机器学习技术的介入,结合命名映射的精准归因,网络安全防御体系将更加智能和灵活。在全行业的共同推动下,网络安全威胁的识别和归因将变得更加清晰透明,安全从业者能够及时了解最新的威胁动态,采取有效防御措施。
提高威胁行为体命名的统一率,是推动全球网络安全协作向前迈进的重要一步。微软和CrowdStrike带头的这一开创性项目,正是这一进程中的里程碑。随着更多行业巨头加入,网络安全的整体防御水平将显著提升。网络安全从业者、企业和政府机构应积极关注并参与到这一命名映射的行业协作当中,携手构建一个更安全、更可靠的未来数字环境。
![Build Your Spicy Empire and Stay Anonymous – How to Do Both [video]](/images/485DC450-42C5-4C58-82EF-31D2619CD768)
![Almost von Neumann, Definitely Gödel: The 2nd Incompleteness Theorem's Story [pdf]](/images/7F2BACC4-38C3-442E-91BE-5FEBBD041A15)
