Dernières nouvellesAvec SimuLand, Microsoft étoffe sa simulation de cyberattaques

Avec SimuLand, Microsoft étoffe sa simulation de cyberattaques

-

Un peu plus d’un mois aprs avoir lanc son modle de simulation d’entranement cyber range CyberBattleSim, Microsoft annonce maintenant SimuLand. Objectif de cette solution open source : dployer des environnements de test qui reproduisent les scnarios d’attaques et vrifient les capacits de dfense des outils 365 et Azure Defender ainsi que Sentinel.

Dans la guerre contre les cybermenaces, Microsoft a un très grand rôle à jouer. Pourquoi ? Prédominantes sur le marché des OS et serveurs (en particulier de messagerie, bureautique et collaboratif) dans les entreprises, ses solutions constituent un point d’entrée évident dans les scenarios d’attaques des cybercriminels. Pour les aider à mieux comprendre comment les pirates s’y prennent pour pénétrer leurs systèmes, l’éditeur a publié le mois dernier CyberBattleSim, un modèle de simulation d’entraînement cyber range basé sur de l’apprentissage par renforcement.

Disponible en open source – son code Python et interface OpenAI Gym été mis en ligne sur GitHub – cet outil n’est désormais plus le seul publié par Microsoft. Un second simulateur maison de cyberattaques, SimuLand lui aussi open source vient en effet d’être annoncé. Il a été conçu cette fois par l’entité MSTIC (monitoring systems and technology intern center) et non comme dans le cas de CyberBattleSim de l’équipe de recherche Microsoft 365 Defender. Pousser l’émulation des équipes de recherche en cybersécurité a du bon, chacune présentant un projet sous un angle quelque peu différent. Si dans le cas de CyberBattleSim il s’agit avant tout de simuler l’attaque au moment du déplacement latéral et comprendre comment un attaquant vole des informations confidentielles, le périmètre de SimuLand s’avère toutefois plus étendu.

Des actions malveillantes mappées sur le framework MITRE ATT&CK 

« SimuLand vise à aider les chercheurs en sécurité du monde entier à déployer des environnements de lab reproduisant des techniques bien connues utilisées dans des scénarios d’attaque réels, à tester et à vérifier activement l’efficacité des détections Microsoft 365 Defender, Azure Defender et Azure Sentinel associées. Et étendre la recherche sur les menaces à l’aide de la télémétrie et des artefacts forensics générés après chaque exercice de simulation », explique Microsoft dans un billet. Les grands principes de Simuland sont d’aider à comprendre le comportement et le comportement d’un attaquant, et identifier les atténuations et les chemins d’accès des attaquants en documentant leurs conditions préalables. Mais aussi accélérer la conception et le déploiement des environnements de tests sur les menaces ou encore modéliser et détecter les actions de l’adversaire, sans oublier de valider et d’ajuster ses capacités de détection en fonction des menaces.

Un premier environnement réseau de simulation de test de cyberattaques reposant sur plusieurs ressources Azure (Active Directory, Portal, Sentinel…) est proposé par Microsoft dans le cadre de son projet open source SimuLand. (crédit : Microsoft)

« Chaque plan de simulation fournit dans le cadre de ce projet est décomposé en actions d’attaquant mappées sur le framework MITRE ATT&CK », explique l’éditeur. « L’objectif du composant de simulation et de détection est également de résumer les principales étapes utilisées par un acteur de la menace pour accomplir un objet spécifique et de familiariser les chercheurs en sécurité avec le comportement de l’attaquant à un niveau élevé ». Dans la pratique, cela montre par exemple les différentes façons d’exporter un certificat de signature d’un token depuis un serveur de fédération d’identifiants.

D’autres scénarios de simulation de cyberattaques sont en cours d’élaboration par Microsoft qui travaille par ailleurs à d’autres améliorations. Notamment, un modèle de données pour documenter les étapes de simulation de manière plus organisée et standardisée, un pipeline d’intégration/développement avec Azure DevOps,. Ainsi que de l’automatisation d’actions d’attaque dans le cloud via Azure Functions et des capacités d’exporter et de partager des données de télémétrie générées avec la communauté InfoSec.

Dernières Nouvelles

Le maire pour Nice, Christian Estrosi, préconise le port du masque dans les transports publics

Ce lundi 27 juin, le maire de Nice et président de la Métropole Nice Côte d'Azur a préconisé le retour du déguisement et le respect des gestes barrières dans les transports publics pour contrer la propagation du Covid-19 laquelle amorce cette 7e vague en France.

La fédération LR vers l’Oise placée sous tutelle : « cela va au moins permettre d’éclaircir certaines positions »

une nouvelle a été annoncée mardi 21 juin lors du bureau politique. Elle sonne comme un rappel à l’ordre pour une fédération LR de l’Oise, qui passe désormais sous tutelle certains instances nationales du parti.

Ain : Damien Abad de nouveau visé par une plainte pour tentative de crime

la nouvelle plainte a été déposée contre Damien Abad. Déposée par la élue centriste, la plainte concerne la tentative de sévices remontant à 2010. Le rusé des solidarités a répliqué en déposant à son tour plainte pour dénonciation calomnieuse.

Le Kremlin assure qu’il n’y a « aucexcrétione » raison d’évoquer excrétion défaut de paiement de la Russie

Le porte-parole du Kremlin a réfuté ce lundi le risque de défaut de paiement de la Russie plus que les détenteurs d'obligations russes n'auraient pas touché leurs intérêts avant la date limite.

A Lire Absolument

Appareil Lenovo Area S.p.A. sistema di monitoraggio Dual Band

La caméra IP sans fil Lenovo Area S.p.A. sistema...

Andrea Formenti parle de l’importance des technologies de l’information

L'informatique a pénétré pratiquement tous les aspects des affaires...

Pour vous