真是开眼,Microsoft如何命名电脑病毒。

Microsoft转向了与天气主题一致的威胁参与者的新命名分类。 我们打算使用新的分类法为客户和其他安全研究人员带来更好的清晰度。 我们提供一种更有条理、更清晰、更简单的方式来引用威胁参与者,使组织能够更好地确定优先级并保护自己,并帮助安全研究人员应对大量威胁情报数据。

500

Microsoft将威胁参与者分为五个关键组:

民族国家参与者: 网络运营商代表或由国家/国家相关计划指挥,无论出于间谍、经济利益还是报复。 Microsoft指出,大多数民族国家行动者继续将行动和攻击集中在政府机构、国际组织、非政府组织和智囊团上,以开展传统的间谍或监视目标。

出于财务动机的参与者: 由犯罪组织/个人指挥的网络运动/团体,其动机为经济利益,对已知的非国家或商业实体没有高度信心。 此类别包括勒索软件运营商、商业电子邮件泄露、网络钓鱼和其他纯财务或敲诈动机的团体。

私营部门攻击性行动者 (PSOA) : 由已知/合法法律实体的商业参与者领导的网络活动,这些行为创建和销售网络武器给客户,然后客户选择目标并运营网络武器。 观察到这些工具针对和监视持不同政见者、人权捍卫者、记者、民间社会倡导者和其他私人公民,威胁着许多全球人权努力。

影响运营: 信息活动以操纵方式在线或离线传达,以转移目标受众的看法、行为或决策,以推动一个群体或国家的利益和目标。

开发中的组:临时指定给未知、新兴或发展中的威胁活动。 此指定允许Microsoft将组作为一组离散信息进行跟踪,直到我们可以对操作背后的执行组件的来源或标识达到高度置信度。 满足条件后,正在开发中的组将转换为命名参与者或合并为现有名称。

在我们的新分类中,天气事件或 姓氏 表示上述类别之一。 对于民族国家参与者,我们已将姓氏分配给与归属相关的原产国/地区,如台风指示起源或归属于中国。 对于其他参与者,姓氏表示动机。 例如,Tempest 指示出于财务动机的参与者。

同一天气系列中的威胁参与者可以使用形容词来区分具有不同策略、技术和过程 (TTP) 、基础结构、目标或其他已识别模式的执行组件。 对于正在开发的组,我们使用 Storm 的临时指定和四位数的数字,其中存在新发现、未知、新兴或开发的威胁活动群集。

下表显示了新姓氏如何映射到我们跟踪的威胁参与者。

节选,感兴趣可以点击以下链接:

https://learn.microsoft.com/zh-cn/defender-xdr/microsoft-threat-actor-naming

站务

最近更新的专栏

全部专栏