La nueva colaboración busca agilizar la respuesta ante amenazas alineando las taxonomías de actores conocidos como APT29, Cozy Bear o Midnight Blizzard.

En un panorama digital donde los ciberataques se multiplican y cada segundo cuenta, la confusión en la nomenclatura de los grupos atacantes puede marcar la diferencia entre detener un ataque a tiempo o convertirse en víctima de ransomware. Para resolver esta problemática, Microsoft y CrowdStrike han anunciado una colaboración estratégica para alinear sus taxonomías de nombres de actores de amenazas, facilitando así la identificación y respuesta rápida por parte de los equipos de ciberseguridad.

Un mismo atacante, múltiples nombres

Uno de los mayores obstáculos que enfrentan los profesionales de seguridad es que un mismo grupo atacante puede ser conocido por múltiples nombres según el proveedor. Por ejemplo, Microsoft denomina “Midnight Blizzard” a un actor que también es identificado como Cozy Bear, APT29 o UNC2452 por otras firmas. Esta disparidad complica el análisis, reduce la confianza y ralentiza la toma de decisiones críticas.

«Los nombres nos ayudan a dar sentido al panorama de amenazas y organizar el conocimiento en torno a comportamientos conocidos o probables de atacantes», explica Vasu Jakkal, vicepresidente corporativo de seguridad en Microsoft.

Una guía colaborativa de referencia

Como primer paso de esta iniciativa, ambas compañías han publicado una guía de referencia conjunta que mapea actores comunes rastreados por Microsoft y CrowdStrike junto con sus nombres equivalentes. Esta herramienta no pretende establecer un estándar único, sino traducir entre los distintos sistemas de denominación, proporcionando a los defensores de la red una forma más rápida y clara de correlacionar información.

El objetivo es triple:

• Incrementar la confianza en la identificación de actores de amenazas.
• Agilizar la correlación de información entre plataformas.
• Acelerar la capacidad de respuesta ante ciberataques activos.

La guía inicial ya está disponible y sirve como punto de partida para mejorar la interoperabilidad entre distintos entornos de seguridad que combinan inteligencia de múltiples proveedores.

No es un estándar, es cooperación práctica

Microsoft ha dejado claro que este esfuerzo no busca imponer una nomenclatura universal, sino facilitar que los profesionales de la seguridad puedan actuar con mayor eficacia en entornos complejos y multinivel.

“Se trata de mejorar la alineación de inteligencia para que nuestros clientes y la comunidad puedan responder más rápido y con más claridad”, afirma Jakkal.

Este enfoque práctico sigue las recomendaciones del Instituto Nacional de Estándares y Tecnología (NIST) de EE.UU., que en su documento SP 800-150 sobre compartición de amenazas, destaca la importancia de descripciones coherentes para mejorar la coordinación y la postura de seguridad.

Próximos pasos: se suma la industria

Aunque la alianza inicial es entre Microsoft y CrowdStrike, otras empresas ya se están sumando. Google/Mandiant y Palo Alto Networks (Unit 42) han anunciado su intención de participar próximamente en esta colaboración de mapeo de actores de amenazas, lo que podría consolidar un esfuerzo sectorial más amplio en beneficio del ecosistema global de ciberseguridad.

Esta iniciativa supone un paso más hacia una ciberdefensa coordinada y transparente, en la que los diferentes actores del sector trabajan juntos para reducir la fricción, evitar errores de atribución y acortar los tiempos de respuesta.

vía: Microsoft