Threat Actor Naming: первый шаг к единому языку кибербезопасности

MISP объявил о выпуске нового стандарта для кибербезопасности — Threat Actor Naming (RFC), который направлен на решение одной из ключевых проблем обмена информацией в области киберугроз — унифицированную и надёжную идентификацию хакерских группировок.

Отсутствие стандартов в именовании субъектов угроз часто приводит к путанице, двойным усилиям и снижению эффективности анализа. Основная цель стандарта — активное использование существующих баз данных, включая уникальные идентификаторы (UUID), для повышения точности и согласованности при обмене данными. Такой подход поддерживает более тесное сотрудничество и упрощает сопоставление данных о киберугрозах между платформами.

Отмечается, что отсутствие единых стандартов приводит к тому, что один и тот же субъект угрозы может иметь множество названий, что затрудняет работу аналитиков. Например, одни и те же группы могут называться как APT-1, так и TA-505, а использование слов из словарей, таких как «ZooPark», создает путаницу из-за их общего значения.

Рекомендуется тщательно проверять существующие названия в базах данных перед созданием нового имени. Важно избегать использования словарных слов, имен инструментов и техник, чтобы не создавать дублирующих или вводящих в заблуждение названий. В документе также предложен стандарт формата: предпочтение отдается названиям из одного слова или фразам с использованием дефисов. Кодировка должна быть основана на 7-битном ASCII, чтобы избежать языковых барьеров и несоответствий.

Кроме того, предлагается создание централизованного реестра для хранения названий угроз. Такой реестр позволит отслеживать историю имен и обеспечивать их уникальность. Например, названия «APT-1» или «TA-505» считаются хорошими примерами, тогда как «ShadyRAT» или «GIF89a» приводят к путанице из-за совпадений с другими терминами.

Рекомендации включают и меры безопасности: перед публикацией нового имени его необходимо проверять на наличие конфиденциальной информации, которая могла бы раскрыть детали инцидента.

Документ подчеркивает необходимость единых стандартов, которые облегчат взаимодействие между аналитиками и платформами, такими как MISP, а также улучшат общее понимание киберугроз.