Threat Actor Naming: el primer paso hacia un lenguaje común en ciberseguridad
El nuevo estándar de identificación MISP mejorará el seguimiento de los hackers.
MISP anunció el lanzamiento de un nuevo estándar para la ciberseguridad: Threat Actor Naming (RFC), que tiene como objetivo abordar uno de los problemas clave en el intercambio de información sobre ciberamenazas: la identificación unificada y confiable de grupos de hackers.
La falta de estándares en la denominación de actores de amenazas a menudo conduce a confusión, esfuerzos duplicados y una disminución en la eficacia del análisis. El objetivo principal del estándar es el uso activo de bases de datos existentes, incluidos identificadores únicos (UUID), para mejorar la precisión y la coherencia en el intercambio de datos. Este enfoque fomenta una colaboración más estrecha y facilita la correlación de datos sobre ciberamenazas entre plataformas.
Se señala que la ausencia de estándares unificados provoca que un mismo actor de amenazas pueda tener múltiples nombres, lo que dificulta el trabajo de los analistas. Por ejemplo, los mismos grupos pueden ser denominados tanto APT-1 como TA-505, y el uso de palabras de diccionario, como «ZooPark», genera confusión debido a su significado común.
Se recomienda verificar cuidadosamente los nombres existentes en las bases de datos antes de crear un nuevo nombre. Es importante evitar el uso de palabras de diccionario, nombres de herramientas y técnicas para no generar nombres duplicados o confusos. El documento también propone un estándar de formato: se prefiere el uso de nombres de una sola palabra o frases con guiones. La codificación debe basarse en ASCII de 7 bits para evitar barreras lingüísticas e inconsistencias.
Además, se propone la creación de un registro centralizado para almacenar los nombres de amenazas. Este registro permitirá rastrear el historial de nombres y garantizar su unicidad. Por ejemplo, nombres como «APT-1» o «TA-505» se consideran buenos ejemplos, mientras que «ShadyRAT» o «GIF89a» generan confusión debido a coincidencias con otros términos.
Las recomendaciones también incluyen medidas de seguridad: antes de publicar un nuevo nombre, se debe verificar que no contenga información confidencial que pueda revelar detalles del incidente.
El documento enfatiza la necesidad de estándares unificados que faciliten la interacción entre analistas y plataformas como MISP, además de mejorar la comprensión general de las ciberamenazas.
Las huellas digitales son tu debilidad, y los hackers lo saben