Microsoft представила SimuLand для анализа поведения кибер-злоумышленников
Microsoft представила SimuLand для анализа поведения кибер-злоумышленников
Microsoft представила бесплатную тестовую лабораторную среду с открытым исходным кодом, которая позволяет специалистам по кибербезопасности проверять защитные функции продуктов 365 Defender, Azure Defender и Azure Sentinel против реальных кибератак.
Инструмент SimuLand создан для анализа поведения киберзлоумышленников, определения способов защиты компьютерных систем, ускорения разработки и запуска лабораторных сред для исследования угроз, а также для информирования ИБ-экспертов об актуальных технологиях и инструментах преступников, обнаружения, документирования и обмена соответствующими источниками данных для моделирования и обнаружения хакеров.
Лабораторная среда позволяет ИБ-экспертам тестировать и совершенствовать защиту от атак Golden SAML, в рамках которых хакеры атакуют систему аутентификации Microsoft Active Director Federation Services (AD FS).
Инструмент позволяет исследователям «смоделировать поведение злоумышленника, намеревающегося украсть сертификат подписи токена AD FS с «локального» сервера AD FS, чтобы подписать токен SAML, выдать себя за привилегированного пользователя и в конечном итоге собрать почтовые данные через Microsoft Graph API.
В будущем помимо расширения лабораторной среды и добавления в нее новых сценариев атак, Microsoft планирует внедрить в SimuLand поддержку автоматизации атак через облачную систему Azure Functions, экспорта и обмена телеметрией, интеграции оценочных лабораторий Microsoft Defender, а также развертывания и обслуживания инфраструктуры посредством конвейеров CI/CD с Azure DevOps.
Для тестирования возможностей нового инструмента SimuLand пользователям необходим клиент Azure и как минимум лицензия Microsoft 365 E5 (платная или пробная)
