Para ayudar a las organizaciones a prepararse para un ciberataque, Microsoft ha dado a conocer una nueva herramienta que ofrece un modelo de simulación de entrenamiento basado en aprendizaje reforzado. El código fuente de CyberBattleSim está elaborado en Python y la interfaz de OpenAI Gym, es de codigo abierto licenciado bajo la licencia MIT y se mencona que las marcas comerciales o logotipos de proyectos, productos o servicios, contienen el uso autorizado de las marcas comerciales o logotipos de Microsoft y está sujeto a las Pautas de marcas y marcas comerciales de Microsoft.
CyberBattleSim es una plataforma de investigación de experimentación para investigar la interacción de agentes automatizados que operan en un entorno de red empresarial abstracto simulado. La simulación proporciona una abstracción de alto nivel de las redes informáticas y los conceptos de seguridad cibernética. Su interfaz Open AI Gym basada en Python permite el entrenamiento de agentes automatizados utilizando algoritmos de aprendizaje por refuerzo.
El entorno de simulación está parametrizado por una topología de red fija y un conjunto de vulnerabilidades que los agentes pueden utilizar para moverse lateralmente en la red. El objetivo del atacante es tomar posesión de una parte de la red explotando las vulnerabilidades que se encuentran en los nodos de la computadora.
Mientras el atacante intenta propagarse por la red, un agente defensor observa la actividad de la red e intenta detectar cualquier ataque que esté produciendo y mitigar el impacto en el sistema desalojando al atacante.
Proporcionamos un defensor de estocástico básico que detecta y mitiga los ataques en curso basado en probabilidades de éxito predefinidas.Implementamos la mitigación al volver a generar imágenes de los nodos infectados, un proceso modelado de manera abstracta como una operación que abarca múltiples pasos de simulación.
El aprendizaje por refuerzo es una categoría de aprendizaje automático en la que los agentes autónomos aprenden a tomar decisiones actuando de acuerdo con su entorno.
El objetivo de la simulación de amenazas cibernéticas es comprender cómo un atacante logra robar información confidencial. Al aprender sus técnicas de intrusión, los defensores pueden anticipar mejor los riesgos y las lagunas e iniciar acciones correctivas.
Pero no debemos perder de vista que los equipos de defensa están siempre un paso por detrás de los atacantes que determinan qué vector de ataque utilizar mientras los defensores tienen que prepararse sin saber dónde se va a producir el ataque. En definitiva, el papel de un portero ante todo un equipo que también puede marcar por detrás y por encima de él …
Los escenarios de ciberataques de CyberBattleSim son variados y van desde el robo de credenciales hasta la filtración de propiedades de los nodos para la escalada de privilegios, e incluso la explotación de sitios de Sharepoint al comprometer las credenciales SSH.
Microsoft también especifica que el entorno Gym permite una gran flexibilidad en la personalización y la configuración para simular ciberataques. El editor también ha incluido una herramienta de referencia para medir y comparar el éxito de las acciones de ciberdefensa basadas en el aprendizaje automático.
“La simulación en CyberBattleSim es simplista, lo que tiene sus ventajas: su naturaleza altamente abstracta impide la aplicación directa a sistemas del mundo real, brindando así protección contra el uso potencialmente dañino de agentes automatizados entrenados con ella.
También nos permite centrarnos en aspectos específicos de la seguridad que queremos estudiar y experimentar rápidamente con el aprendizaje automático reciente y los algoritmos de inteligencia artificial: actualmente nos estamos enfocando en técnicas de movimiento lateral, con el objetivo de comprender cómo la topología y configuración de la red afecta estas técnicas. Con ese objetivo en mente, pensamos que modelar el tráfico de red real era innecesario, pero estas son limitaciones importantes que los aportes futuros pueden buscar resolver ”.
Finalmente si estás interesado en saber más al respecto sobre CyberBattleSim o si quieres conocer como poder implementar esta herramienta en tu sistema puedes consultar los detalles y/o las instrucciones de instalacion y uso en el siguiente enlace.