503
หลังจากหลายปีที่เกิดความสับสนในวงการไซเบอร์ จากการที่บริษัทต่างๆ ใช้ชื่อเรียกกลุ่มแฮ็กเกอร์ไม่ตรงกัน ล่าสุดบริษัทชั้นนำด้านความปลอดภัยไซเบอร์อย่าง Microsoft, CrowdStrike, Palo Alto Networks, Google รวมถึงหน่วย Mandiant ของ Google ได้ร่วมมือกันจัดระเบียบใหม่ในการตั้งชื่อกลุ่มแฮ็กเกอร์ เพื่อสร้างความชัดเจนในการสื่อสารและเร่งเวลาตอบสนองต่อภัยคุกคามให้เร็วขึ้น
ปัญหาที่ผ่านมา
- แต่ละบริษัทด้านความปลอดภัยไซเบอร์มักมีวิธีตั้งชื่อกลุ่มภัยคุกคามแตกต่างกัน เช่น กลุ่มเดียวกันอาจถูกเรียกชื่อต่างกันโดย Microsoft, CrowdStrike และ Palo Alto ทำให้ข้อมูลข่าวกรองภัยคุกคาม (threat intelligence) มีความซ้ำซ้อนและสับสน
- ยกตัวอย่างเช่น กลุ่ม Scattered Spider ถูก Microsoft เรียกว่า Octo Tempest ในขณะที่ Palo Alto เรียกว่า Muddled Libra
การร่วมมือระหว่างยักษ์ใหญ่ด้านไซเบอร์
- Microsoft และ CrowdStrike เปิดตัว “เมทริกซ์ภัยคุกคาม” เบื้องต้น โดยระบุชื่อกลุ่มที่ทั้งสองบริษัทติดตาม พร้อมชื่อต่างๆ ที่ถูกใช้เรียกโดยบริษัทอื่น
- พันธมิตรร่วมอย่าง Palo Alto Networks และ Mandiant (ของ Google) ก็เข้าร่วมเพื่อพัฒนาแนวทางการตั้งชื่อร่วมกัน
เป้าหมายของความร่วมมือ
- ลดความล่าช้าในการสืบหาว่าใครอยู่เบื้องหลังการโจมตี
- ปรับปรุงการประสานงานและการตอบสนองต่อเหตุการณ์ด้านไซเบอร์
- ลดช่องว่างของข้อมูล (blind spots) ที่อาจเกิดขึ้นจากความไม่สอดคล้องของข้อมูล
ความเห็นจากผู้บริหาร
- Vasu Jakkal รองประธานฝ่ายความปลอดภัยของ Microsoft กล่าวว่า “แม้แค่ความล่าช้าเพียงไม่กี่วินาทีก็อาจเป็นจุดเปลี่ยนระหว่างการป้องกันกับการถูกโจมตีได้”
- Michael Sikorski CTO ของหน่วย Unit 42 ใน Palo Alto Networks กล่าวว่า “การตั้งชื่อภัยคุกคามร่วมกันไม่ใช่แค่เรื่องสวยหรู แต่เป็นการเปลี่ยนเกมสำหรับผู้ป้องกัน เพราะทำให้รับมือกับภัยคุกคามได้เร็วขึ้น”
แผนในอนาคต
- Microsoft และ CrowdStrike กำลังวางแผนสร้าง กลุ่มผู้ร่วมให้ข้อมูลจำนวนน้อยแต่มีความเชี่ยวชาญ เพื่อช่วยกำหนดกระบวนการอัปเดตและดูแลระบบการตั้งชื่อให้ต่อเนื่อง
หมายเหตุ
- ความร่วมมือนี้ไม่ได้บังคับให้บริษัทต้องเปลี่ยนระบบการตั้งชื่อของตนเอง แต่เป็นการหาจุดร่วมในการเชื่อมโยงชื่อที่ต่างกันของกลุ่มภัยคุกคามเดียวกันให้เข้าใจตรงกัน
- Jen Easterly อดีตผู้อำนวยการของ CISA เคยวิจารณ์ว่า วิธีการตั้งชื่อกลุ่มแฮ็กเกอร์ของบางบริษัททำให้ผู้คนเข้าใจผิดว่ากลุ่มแฮ็กเกอร์เหล่านี้มีพลังเหนือมนุษย์เกินความเป็นจริง
ความร่วมมือครั้งนี้นับเป็นก้าวสำคัญของวงการไซเบอร์ที่ต้องการความชัดเจน โปร่งใส และรวดเร็วในการตอบสนองต่อภัยคุกคามที่ซับซ้อนและรุนแรงขึ้นเรื่อยๆ ในปัจจุบัน
