Microsoft представила симулятор кибератак с машинным обучением
8 апреля 2021 года Microsoft представила симулятор кибератак с машинным обучением CyberBattleSim. Исходный код этого проекта компания выложила на GitHub под лицензией MIT.
Симулятор позволяет ИБ-исследователям, сетевым администраторам и специалистам по обработке данных моделировать различные сетевые среды и компьютерное оборудование и видеть, как они справляются с управляемыми ИИ атакующими систему кибер-агентами.
CyberBattleSim создан на основе открытой платформе для тренировки сильного ИИ Open AI Gym.
Симулятор разработала исследовательская группа Microsoft 365 Defender Research для моделирования векторов распространения вредоносного кода внутри сети после первоначального взлома.
Пример распространения кибер-агентов ИИ в симуляторе.
Смоделированная в симуляторе среда состоит из нескольких вычислительных блоков (серверов и ПК на разных ОС — от Windows до Linux). В ней отражены на базе на базе фиксированной топологии сети набор предопределенных уязвимостей, которые кибер-агенты могут использовать для различных векторов атак по сети.
ИИ тут фактически выступает в качестве хакера и пытается далее закрепится на различных нодах внутри сети. За его действиями, включая нештатную сетевую активность, следят агенты-защитники. Они могут как обнаружить присутствие злоумышленника, так и попытаться сдержать его атаку.
В симуляторе пользователи могут создавать вычислительные среды, аналогичные используемыми ими в реальности, чтобы отработать их уязвимости и способы защиты различных вычислительных нод.
Пример конфигурации для создания определенных узлов в симуляторе.
Далее автоматизированные кибер-агенты (субъекты угроз) начинают развертывание внутри сети, где они случайным образом начинают хакерские действия против различных узлов, чтобы взять их под контроль. Фактически они играют в режиме захвата флага — CTF (Capture the flag).
Пример интерактивного воспроизведение симуляции CyberBattleSim.
Microsoft надеется, что сообщество ИБ-специалистов сможет использовать этот симулятор, чтобы лучше понять, как хакерский ИИ может анализировать векторы атаки после первоначального взлома, а также как лучше защищаться от них и противостоять дальнейшему захвату нодов в сети.
Компания планирует далее расширять возможности симулятора и привлекать к экспериментам с ИИ всех желающих и профильных специалистов, чтобы использовать инновационные способы решения для текущих проблем безопасности.