Новый симулятор атак с открытым исходным кодом от Microsoft визуализирует кибератаки
Microsoft открывает исходный код своего внутреннего инструмента моделирования угроз CyberBattleSim, делая проект доступным для всех.
CyberBattleSim – это инструмент, разработанный и используемый исследовательской группой Microsoft 365 Defender Research, помогающий создавать «очень абстрактные» модели сложных компьютерных систем и того, как злоумышленник может распространяться по всей системе.
Microsoft надеется, что выпуск CyberBattleSim побудит других исследователей безопасности взять этот инструмент и разработать его дальнейшее использование и роли, а также лучше понять, как злоумышленник может действовать в скомпрометированной сети.
CyberBattleSim: симулятор атак с открытым исходным кодом
По своей сути CyberBattleSim – это инструмент моделирования угроз, созданный с использованием интерфейса Open AI Gym на основе Python для простоты использования.
Пользователи могут смоделировать сеть компьютерных узлов с использованием фиксированной топологии, а затем запрограммировать список предопределенных уязвимостей, влияющих на сеть. Оттуда смоделированный злоумышленник попытается проникнуть в сеть, используя определенные уязвимости, используя любые слабые места в своей атаке.
В свою очередь, автоматическая защита будет пытаться защитить себя от атаки, моделируя, как сетевая защита пытается отразить атакующих и вытеснить их из сети.
Симуляция не поддерживает выполнение машинного кода, и, следовательно, в ней фактически не используется никаких средств защиты. Вместо этого мы моделируем уязвимости абстрактно с предварительным условием, определяющим следующее: узлы, на которых уязвимость активна, вероятность успешного использования и высокоуровневое определение результата и побочных эффектов.
Со стороны это выглядит как забавный исследовательский инструмент. Но CyberBattleSim позволяет создавать широкие настраиваемые сценарии с использованием огромного набора триггеров и параметров. В официальном блоге Microsoft Security, в котором объявляется о выпуске инструмента, также подробно рассказывается о пользовательской задаче в стиле захвата флага. В то же время существует несколько типов предопределенных результатов уязвимости, которые могут повлиять на результат модели.
Технология искусственного интеллекта, важная для моделирования угроз
Использование технологий искусственного интеллекта в сценариях моделирования угроз важно, поскольку они предоставляют исследователям инструменты для понимания взаимодействий и траектории продолжающейся атаки.
Важно отметить, что симуляция CyberSimBattle очень абстрактна, что означает, что она не похожа ни на какие реальные системы, что ограничивает ее использование в качестве теоретического вредоносного инструмента.
Создавая CyberBattleSim, мы лишь слегка касаемся того, что, по нашему мнению, является огромным потенциалом для применения обучения с подкреплением в обеспечении безопасности. Мы приглашаем исследователей и специалистов по обработке данных продолжить наши эксперименты. Мы рады видеть, что эта работа расширяется и вдохновляет на новые и инновационные способы решения проблем безопасности.