Le nouveau simulateur d’attaque Open Source de Microsoft visualise les cyberattaques
Microsoft a ouvert son outil de modélisation des menaces interne, CyberBattleSim, rendant le projet accessible à tous.
CyberBattleSim, bien nommé, est un outil développé et utilisé par l'équipe de recherche Microsoft 365 Defender, aidant à créer des simulations «très abstraites» de systèmes informatiques complexes et de la façon dont un attaquant peut se propager latéralement à travers celui-ci.
Microsoft espère que la sortie de CyberBattleSim encouragera d'autres chercheurs en sécurité à choisir l'outil et à développer d'autres utilisations et rôles pour celui-ci et à mieux comprendre comment un attaquant pourrait agir au sein d'un réseau compromis.
CyberBattleSim: un simulateur d'attaque open-source
À la base, CyberBattleSim est un outil de modélisation des menaces construit à l'aide de l'interface Open AI Gym basée sur Python pour une facilité d'utilisation.
Les utilisateurs peuvent simuler un réseau de nœuds informatiques à l'aide d'une topologie fixe, puis programmer une liste de vulnérabilités prédéfinies affectant le réseau. À partir de là, l'attaquant simulé tentera de percer le réseau en utilisant les vulnérabilités définies, exploitant toutes les faiblesses de son attaque.
À leur tour, les défenses automatisées tenteront de se protéger contre l'attaque, simulant la façon dont les défenses du réseau tentent de repousser les attaquants et de les éjecter du réseau.
La simulation ne prend pas en charge l'exécution de code machine, et donc aucun exploit de sécurité n'y a lieu. Nous modélisons plutôt les vulnérabilités de manière abstraite avec une condition préalable définissant les éléments suivants: les nœuds où la vulnérabilité est active, une probabilité d'exploitation réussie et une définition de haut niveau du résultat et des effets secondaires.
De l'extérieur, cela ressemble à un outil d'exploration amusant. Mais CyberBattleSim permet des scénarios largement personnalisables en utilisant une vaste gamme de déclencheurs et de paramètres. Le blog officiel de Microsoft Security annonçant la sortie de l'outil détaille également un défi de style capture-le-drapeau personnalisé. Dans le même temps, il existe plusieurs types de résultats de vulnérabilité prédéfinis qui peuvent affecter le résultat du modèle.
La technologie de l'IA est importante pour la modélisation des menaces
L'utilisation de la technologie IA dans les scénarios de modélisation des menaces est importante, car elle fournit aux chercheurs les outils nécessaires pour comprendre les interactions et la trajectoire d'une attaque en cours.
Surtout, la simulation de CyberSimBattle est très abstraite, ce qui signifie qu'elle ne ressemble à aucun système du monde réel, limitant son utilisation en tant qu'outil malveillant théorique.
Avec CyberBattleSim, nous ne faisons qu'effleurer la surface de ce que nous pensons être un énorme potentiel pour appliquer l'apprentissage par renforcement à la sécurité. Nous invitons les chercheurs et les data scientists à s'appuyer sur notre expérimentation. Nous sommes ravis de voir ce travail se développer et inspirer de nouvelles façons innovantes d'aborder les problèmes de sécurité