マイクロソフトは、セキュリティチームが攻撃をシミュレートし、マイクロソフトのセキュリティ製品の検知効果を検証できるラボ環境の構築に使用できるツールをオープンソース化しました。
「SimuLand」は、「Microsoft 365 Defender」「Azure Defender」「Azure Sentinel」などのマイクロソフト製品を使用するセキュリティチームを支援するために構築されました。
現在SimuLandには、Golden SAML攻撃の検出に特化したラボ環境1つしか用意されていません。
ただマイクロソフトはさらに新しいラボ環境を追加するようにすすめているとしており、コミュニティからの貢献も歓迎されています。
このプロジェクトがGitHubでオープンソース化されており、マイクロソフトが自社のソフトウェアを運用している何万ものセキュリティチームからサポートしてほしいと述べています。
しかし、マイクロソフト社はよく知られた技術や敵の手法を実行することに特化したラボ環境だけを望んでいるわけではなく、OSメーカーであるMために、共有された知識を誰もが享受できるように共有された攻撃に対する改良された検知ルールをコミュニティに提供することも奨励しています。
マイクロソフトは、AIを活用したサイバー攻撃シミュレーターもオープンソース化しています。
「CyberBattleSim」と名付けられたこのプロジェクトは、Pythonベースの人工知能(AI)エンジンを使用して、企業の内部ネットワークに対する攻撃を実行します。
https://github.com/microsoft/CyberBattleSim
マイクロソフト社がこのプロジェクトを立ち上げた理由としては、最初に攻撃を受けた後に攻撃者が内部ネットワーク上でどのように広がり、横方向に移動するかをセキュリティチームがテストするためです。
OSメーカーであるマイクロソフトは、CyberBattleSimのシミュレーション結果がネットワーク防御者が内部ネットワークのセキュリティを向上させるのに役立つことを期待しています。
現在ほとんどのセキュリティチームは、ネットワークエッジを強化することに執着して、内部ネットワークが最も基本的な攻撃者のテクニックにさえ弱いままになっているようです。
Comments