Pour aider les organisations à se préparer à une cyberattaque, Microsoft a publié un nouvel outil qui propose un modèle de simulation de formation basé sur un apprentissage renforcé. Le code source de CyberBattleSim est fait en Python et l'interface OpenAI Gym, il est open source sous licence MIT et il est mentionné que les marques ou logos de projets, produits ou services, contiennent l'utilisation autorisée des marques ou logos Microsoft et est soumis aux directives de Microsoft sur les marques et les marques.
CyberBattleSim est une plateforme de recherche d'expérimentation pour étudier l'interaction des agents automatisés fonctionnant dans un environnement de réseau d'entreprise abstrait simulé. La simulation fournit une abstraction de haut niveau des réseaux informatiques et des concepts de cybersécurité. Son interface Open AI Gym basée sur Python permet la formation automatisée des agents à l'aide d'algorithmes d'apprentissage par renforcement.
L'environnement de simulation est paramétré par une topologie de réseau fixe et un ensemble de vulnérabilités que les agents peuvent utiliser pour se déplacer latéralement dans le réseau. Le but de l'attaquant est de prendre possession d'une partie du réseau en exploitant les vulnérabilités trouvées dans les nœuds de l'ordinateur.
Alors que l'attaquant tente de se propager sur le réseau, un agent de défense surveille l'activité du réseau et tente de détecter toute attaque en cours et d'atténuer l'impact sur le système en expulsant l'attaquant.
Nous fournissons un défenseur stochastique de base qui détecte et atténue les attaques en cours en fonction de probabilités de succès prédéfinies. Nous mettons en œuvre l'atténuation en réimaginant les nœuds infectés, un processus modélisé de manière abstraite comme une opération de simulation en plusieurs étapes.
L'apprentissage par renforcement est une catégorie d'apprentissage automatique dans laquelle les agents autonomes apprennent à prendre des décisions en agissant conformément à leur environnement.
Le but de la simulation de cybermenaces est de comprendre comment un attaquant parvient à voler des informations confidentielles. En apprenant leurs techniques d'intrusion, les défenseurs peuvent mieux anticiper les risques et les failles et initier des actions correctives.
Mais il ne faut pas perdre de vue que les équipes de défense sont toujours un pas derrière les attaquants qui déterminent quel vecteur d'attaque utiliser alors que les défenseurs doivent se préparer sans savoir où l'attaque va avoir lieu. Bref, le rôle d'un gardien avant tout une équipe qui peut aussi marquer derrière et au-dessus de lui ...
Les scénarios de cyberattaques de CyberBattleSim sont variés et ils vont du vol des identifiants au filtrage des propriétés des nœuds pour l'élévation des privilèges, et même à l'exploitation des sites Sharepoint en compromettant les identifiants SSH.
Microsoft précise également que l'environnement Gym permet une grande flexibilité dans la personnalisation et la configuration pour simuler des cyberattaques. L'éditeur a également intégré un outil de référence pour mesurer et comparer le succès des actions de cyberdéfense basées sur l'apprentissage automatique.
«La simulation dans CyberBattleSim est simpliste, ce qui a ses avantages: sa nature hautement abstraite empêche l'application directe aux systèmes du monde réel, offrant ainsi une protection contre l'utilisation potentiellement nocive d'agents automatisés entraînés avec elle.
Cela nous permet également de nous concentrer sur des aspects spécifiques de la sécurité que nous souhaitons étudier et expérimenter rapidement avec des algorithmes récents de machine learning et d'intelligence artificielle: nous nous concentrons actuellement sur les techniques de mouvement latéral, dans le but de comprendre comment la topologie et la configuration du réseau affecte ces techniques. Avec cet objectif à l'esprit, nous avons pensé que la modélisation du trafic réseau réel n'était pas nécessaire, mais ce sont des limitations importantes que les contributions futures pourraient chercher à résoudre. "
Enfin si vous souhaitez en savoir plus à propos de CyberBattleSim ou si vous souhaitez savoir comment implémenter cet outil dans votre système, vous pouvez consulter les détails et / ou les instructions d'installation et d'utilisation dans le lien suivant.