SimuLand là gì?
SimuLand là một môi trường phòng thí nghiệm mã nguồn mở tái tạo các kỹ thuật nổi tiếng được sử dụng trong các tình huống tấn công thực tế, chủ động kiểm ta và xác minh hiệu quả của Microsoft 365 Defender, Azure Defender và Azure Sentinel. Song, SimuLand cũng mở rộng nghiên cứu mối đe dọa bằng cách sử dụng phương pháp đo từ xa và tạo tác pháp y được tạo ra sau mỗi bài tập mô phỏng.
Môi trường phòng thí nghiệm này sẽ cung cấp các trường hợp sử dụng từ nhiều nguồn dữ liệu khác nhau, bao gồm phép đo từ xa từ các sản phẩm bảo mật Microsoft 365 Defender và các nguồn dữ liệu tích hợp khác thông qua trình kết nối dữ liệu Azure Sentinel.
Mục đích tạo ra SimuLand
Khi Microsoft xây dụng SimuLand và bắt đầu đưa vào các môi trường phòng thí nghiệm, công ty sẽ làm việc theo các nguyên tắc cơ bản sau:
- Hiểu hành vi cơ bản và chức năng của nghề đối thủ
- Xác định các biện pháp giảm nhẹ và đường đi của kẻ tấn công bằng cách ghi lại các điều kiện tiên quyết cho mỗi hành động của chúng
- Thúc đẩy việc thiết kế và triển khai môi trường phòng thí nghiệm nghiên cứu mối đe dạo
- Luôn cập nhật các kỹ thuật và công cụ mới nhất mà các tác nhân đe dọa sử dụng
- Xác định, lập tài liệu và chia sẻ các nguồn dữ liệu liên quan để lập mô hình và phát hiện các hành động của đối thủ
- Xác thực và điều chỉnh khả năng phát hiện
Quá trình
Hiện tại, SimuLand có sẵn để các nhà nghiên cứu kiểm tra và cải thiện khả năng phòng thủ của họ trước các cuộc tấn công Golden SAML cho phép các tác nhân đe dọa giả mạo xác thực cho các ứng dụng đám mây.
Bạn có thể chia sẻ các kịch bản mô phòng end-to-end của riêng mình bằng cách mở các vấn đề mới trên kho lưu trữ SimuLand GitHub.
Mục tiêu trong tương lai
Bên cạnh việc tạo thêm các kịch bản tấn công, Microsoft cũng sẽ làm việc trên một số tính năng để cải thiện dự án. Danh sách ý tưởng:
- Một mô hình dữ liệu để ghi lại các bước mô phỏng một cách có tổ chức và tiêu chuẩn hóa hơn
- Đường ống CI/CD với Azure DevOps để triển khai và duy trì cơ sở hạ tầng
- Tự động hóa các hành động tấn công trên đám mây thông qua Azure Functions
- Khả năng xuất và chia sẻ phép đo từ xa được tạo ra với cộng đồng InfoSec
- Tích hợp phòng thí nghiệm đánh giá Microsoft Defender
Tháng trước, nhóm Nghiên cứu Microsoft 365 Defender cũng đã phát hành một trình mô phỏng tấn công mạng mã nguồn mở có tên là CyberBattleSim.
Trình mô phỏng này cho phép tạo ra các môi trường mạng mô phỏng mô hình hóa cách các tác nhân mạng do AI kiểm soát (các tác nhân đe dọa) lây lan qua mạng sau khi thỏa hiệp ban đầu.
"Mục tiêu của kẻ tấn công mô phỏng là chiếm quyền sở hữu một số phần của mạng bằng cách khai thác các lỗ hổng được cài đặt sẵn này", Microsoft giải thích. "Trong khi kẻ tấn công mô phỏng di chuyển qua mạng, một tác nhân bảo vệ theo dõi hoạt động mạng để phát hiện sự hiện diện của kẻ tấn công và ngăn chặn cuộc tấn công".