Microsoft представила SimuLand для аналізу поведінки кібер-зловмисників
Microsoft представила SimuLand для аналізу поведінки кіберзлочинців
Microsoft представила безкоштовне тестове лабораторне середовище з відкритим вихідним кодом, яке дозволяє фахівцям з кібербезпеки тестувати функції безпеки продуктів 365 Defender, Azure Defender та Azure Sentinel проти реальних кібератак.
Інструмент SimuLand призначений для аналізу поведінки кіберзлочинців, виявлення способів захисту комп'ютерних систем, прискорення розробки і запуску лабораторних середовищ для дослідження загроз, а також для інформування експертів з інформаційної безпеки про сучасні технології та інструменти злочинців, виявлення, документування і обміну актуальними джерелами даних для моделювання і виявлення хакерів.
Лабораторне середовище дозволяє експертам з інформаційної безпеки тестувати і покращувати захист від атак Golden SAML, в ході яких хакери атакують систему аутентифікації Microsoft Active Director Federation Services (AD FS).
Інструмент дозволяє дослідникам «моделювати поведінку зловмисника, який має намір викрасти сертифікат підпису токена AD FS з «локального» сервера AD FS, щоб підписати токен SAML, видати себе за кореневого користувача і в кінцевому підсумку збирати поштові дані через API Microsoft Graph .
У майбутньому, крім розширення лабораторного середовища і додавання до нього нових сценаріїв атак, Microsoft планує реалізувати підтримку автоматизації атак через хмарну систему Azure Functions, експорту та обміну телеметрією, інтеграції лабораторій оцінки Microsoft Defender, а також розгортання та підтримки інфраструктури через конвеєри CI/CD з Azure DevOps.
Для перевірки можливостей нового інструменту SimuLand користувачам потрібен клієнт Azure і як мінімум ліцензія Microsoft 365 E5 (платна або пробна)