El nuevo simulador de ataques de código abierto de Microsoft visualiza ciberataques
Microsoft está abriendo su herramienta de modelado de amenazas internas, CyberBattleSim, haciendo que el proyecto esté disponible para todos.
CyberBattleSim es una herramienta desarrollada y utilizada por el equipo de investigación de Microsoft 365 Defender, que ayuda a construir simulaciones "altamente abstractas" de sistemas informáticos complejos y cómo un atacante puede propagarse lateralmente a través de ellos.
Microsoft espera que el lanzamiento de CyberBattleSim anime a otros investigadores de seguridad a elegir la herramienta y desarrollar más usos y roles para ella y comprender mejor cómo podría actuar un atacante dentro de una red comprometida.
CyberBattleSim: un simulador de ataques de código abierto
En esencia, CyberBattleSim es una herramienta de modelado de amenazas creada con la interfaz Open AI Gym basada en Python para facilitar su uso.
Los usuarios pueden simular una red de nodos informáticos utilizando una topología fija y luego programar una lista de vulnerabilidades predefinidas que afectan a la red. A partir de ahí, el atacante simulado intentará violar la red utilizando las vulnerabilidades definidas, aprovechando cualquier debilidad en su ataque.
A su vez, las defensas automatizadas intentarán proteger contra el ataque, simulando cómo las defensas de la red intentan repeler a los atacantes y expulsarlos de la red.
La simulación no admite la ejecución de código de máquina y, por lo tanto, no tiene lugar ningún ataque de seguridad en ella. En cambio, modelamos las vulnerabilidades de manera abstracta con una condición previa que define lo siguiente: los nodos donde la vulnerabilidad está activa, una probabilidad de explotación exitosa y una definición de alto nivel del resultado y los efectos secundarios.
Desde fuera, parece una herramienta de exploración divertida. Pero CyberBattleSim permite escenarios ampliamente personalizables utilizando una amplia gama de desencadenantes y parámetros. El blog oficial de seguridad de Microsoft que anuncia el lanzamiento de la herramienta también detalla un desafío de estilo personalizado para capturar la bandera. Al mismo tiempo, existen varios tipos de resultados de vulnerabilidad predefinidos que pueden afectar el resultado del modelo.
Tecnología de IA importante para el modelado de amenazas
El uso de tecnología de inteligencia artificial en escenarios de modelado de amenazas es importante, ya que proporciona a los investigadores las herramientas para comprender las interacciones y la trayectoria de un ataque en curso.
Es importante destacar que la simulación de CyberSimBattle es muy abstracta, lo que significa que no se parece a ningún sistema del mundo real, lo que limita su uso como una herramienta maliciosa teórica.
Con CyberBattleSim, solo estamos rascando la superficie de lo que creemos que es un enorme potencial para aplicar el aprendizaje por refuerzo a la seguridad. Invitamos a los investigadores y científicos de datos a aprovechar nuestra experimentación. Estamos entusiasmados de ver este trabajo expandirse e inspirar formas nuevas e innovadoras de abordar los problemas de seguridad.