A fenyegetések mennyiségének, nagyságrendjének és összetettségének növekvő tendenciája miatt a Microsoft újragondolta, hogy az ügyfelei számára hogyan tehetnék egyszerűbbé és követhetőbbé a fejlett kiberfenyegetési szereplők tevékenységét, illetve, hogy azok milyen kockázatokat rejtenek magukban.
A techóriás ennek nyomán új taxonómia bevezetése mellett döntött, amivel céljuk szerint rendezettebb, megjegyezhetőbb és egyszerűbb módot kínálnak a fenyegető csoportokra való hivatkozásra, így a szervezetek is könnyebben rangsorolhatják a fenyegetéseket és jobban védekezhetnek ellenük. Az elképzelés szerint a biztonsági szakemberek a név elolvasásával azonnal képet fognak kapni arról, hogy milyen típusú fenyegető szereplővel állnak szemben.
A Microsoft Threat Intelligence jellemzői:
- Több mint egy évtizede foglalkoznak a rosszindulatú tevékenységek felfedezésével, nyomon követésével, azonosításával és a kritikus fontosságú információk megosztásával az ügyfelekkel.
- Több mint 300 egyedi fenyegető szereplőt követ, köztük 160 nemzetállami szereplőt és 50 zsarolóvírus csoportot.
- Hírszerzési elemzők, pentesterek és adattudósok globális, multidiszciplináris csoportja a geopolitikai és dezinformációs szakértőkkel együtt dolgozik együtt, ami segít a Microsoft Threat Intelligence csapatoknak abban, hogy teljes mértékben megértsék a támadások mibenlétét, értékeljék a miérteket, majd előre jelezzék és megvalósítsák a támadók következő lépéseire irányuló védelmet.
Az új taxonómia magyarázata
Az új taxonómiákban a fenyegető szereplők csoportjait az időjárási eseményekről nevezték el. Egy időjárási esemény vagy „családnév” egy nemzetállami szereplőhöz való hozzárendelést vagy egy motivációt jelez. Az alábbi táblázat a Microsoft által nyomon követett fenyegető szereplőcsoportokat és a hozzájuk rendelt „időjárási eseményeket” mutatja be az új elnevezési konvencióban:
| Kategória | Típus | Családnév |
| Nemzetállam | Kína | Tájfun (Typhoon) |
| Irán | Homokvihar (Sandstorm) | |
| Libanon | Eső (Rain) | |
| Észak-Korea | Hóesés (Sleet) | |
| Oroszország | Hóvihar (Blizzard) | |
| Dél-Korea | Jégeső (Hail) | |
| Törökország | Por (Dust) | |
| Vietnám | Ciklon (Cyclone) | |
| Pénzügyi motiváció | Pénzügyi motiváció | Vihar (Tempest) |
| Magánszektor offenzív szereplői | PSOA-k | Cunami (Tsunami) |
| Befolyásoló műveletek | Befolyásoló műveletek | Árvíz (Flood) |
| Fejlesztő csoportok | Fejlesztő csoportok | Vihar (Storm) |
Ugyanazon az időjárási kategóriában szereplő fenyegető szereplők jelzőt kapnak, hogy megkülönböztessék a különböző TTP-vel, infrastruktúrával, célokkal vagy más azonosított mintákkal rendelkező szereplőcsoportokat.
Újonnan felfedezett, ismeretlen vagy kialakulóban lévő fenyegető tevékenységcsoportok esetében a Storm (korábban DEV) ideiglenes elnevezést és egy négyjegyű számot használ a Microsoft. Miután nagyfokú bizonyosságot szereznek a művelet mögött álló szereplő eredetéről és személyazonosságáról, az ideiglenes elnevezést átalakítják egy konkrét, végleges névvé. A Microsoft úgy véli, hogy ez az új megközelítés és az új ikonrendszer még könnyebbé teszi a fenyegető szereplők azonosítását és megjegyzését.
A korábban használt elnevezési megközelítés (Elements, Trees, Volcanoes, DEVs) kivezetésre került, ezért az összes meglévő fenyegető szereplőt átcsoportosították az új taxonómiába. A hozzárendelésről a Microsoft leírást készített, amely ezen a linken tekinthető meg, illetve elérhetővé is tett egy .json fájlt is a GitHubon, amelyben az ismert fenyegető szereplők találhatóak meg régi és új neveikkel, aliasokkal, eredetükkel és motivációjukkal.
