LMi-MAG 8 Juillet 2021 - Flipbook - Page 53
frappe va avoir lieu. En somme, le rôle
d’un gardien de but contre une équipe
entière qui peut marquer aussi par derrière et au-dessus de lui...
LES CLIENTS ATTENDENT
LA TRANSPARENCE
EN CAS D’INCIDENT DE
CYBERSÉCURITÉ
vilèges en passant par l’exploit de vul de
sites Sharepoint via compromission des
credentials SSH. De plus, Microsoft précise que l’environnement Gym autorise
une grande souplesse de personnalisation et de paramétrages pour simuler des
cyberattaques. L’éditeur a par ailleurs inclus un outil de benchmark pour mesurer et comparer la réussite d’actions de
défense cyber basées sur l’apprentissage
automatique.
Article
Comment fonctionne CyberBattleSim ?
Ce dernier est centré tout d’abord sur la
modélisation de menaces post-intrusion
et le déplacement latéral d’un cyberattaquant dans le système d’information
cutt.ly/transparence-incident
d’une entreprise. « L’environnement est
constitué d’un réseau de nœuds infor« La simulation dans CyberBattleSim est simpliste, ce qui
matiques. Il est paramétré par une topologie de réseau
présente des avantages : sa nature hautement abstraite
fixe et un ensemble de vulnérabilités prédéfinies qu’un
interdit l’application directe aux systèmes du monde
agent peut exploiter pour se déplacer latéralement à traréel, offrant ainsi une protection contre une utilisation
vers le réseau », explique Microsoft. « L’objectif de l’atnéfaste potentielle d’agents automatisés entraînés avec
taquant simulé est de s’approprier une partie du réseau
elle. Cela nous permet également de nous concentrer sur
en exploitant ces vulnérabilités implantées. Pendant que
des aspects spécifiques de la sécurité que nous souhail’attaquant se déplace sur le réseau, un agent de défense
tons étudier et expérimenter rapidement avec des algosurveille l’activité de celui-ci pour détecter la présence
rithmes d’apprentissage automatique et d’IA récents :
de l’attaquant et contenir l’agression. »
nous nous focalisons actuellement sur les techniques de
mouvement latéral, dans le but de comprendre comment
Simuler sans réel exploit de vulnérabilité...
la topologie et la configuration du réseau affectent ces
techniques. Avec un tel objectif à l’esprit, nous avons esDans l’exemple simulé ci-dessus l’attaquant enfreint le
timé que la modélisation du trafic réseau réel n’était pas
réseau à partir d’un nœud Windows 7 (sur le côté gauche,
nécessaire, mais ce sont des limitations importantes que
pointé par une flèche orange). Il procède à un mouvement
les contributions futures peuvent chercher à résoudre.»
latéral vers un nœud Windows 8 en exploitant une vulDes limites clairement assumées par Microsoft qui,
nérabilité dans le protocole de partage de fichiers SMB,
encore une fois, ne remettent cependant pas en cause
puis utilise des informations d’identification mises en
la pertinence de sa démarche pour accompagner les
cache pour se connecter à une autre machine Windows 7.
entreprises dans leur simulation cyber.
Il exploite ensuite une faille distante IIS pour posséder le
serveur IIS, et utilise finalement des chaînes de connexion
divulguées pour accéder à la base de données SQL.
« Cet environnement, qui simule un réseau informatique
hétérogène prenant en charge plusieurs plateformes,
aide à montrer comment l’utilisation des derniers systèmes d’exploitation et la mise à jour de ces systèmes
permettent aux organisations de tirer parti des meilleures technologies de durcissement et de protection
sur des OS comme Windows 10 », fait savoir Microsoft.
« L’environnement de simulation Gym est paramétré
par la définition de la configuration du réseau, la liste
des vulnérabilités prises en charge et les nœuds où elles
sont implantées. La simulation ne prend pas en charge
l’exécution de code machine, et donc aucun exploit de
vulnérabilité n’y a réellement lieu. »
APPROFONDIR
ÉCOUTER EN LIGNE
Podcast
cutt.ly/podcast-microsoft
... ni analyse du trafic réseau réel
Les scénarios de cyberattaques traitées dans le cadre de
CyberBattleSim sont variés. Ils vont du vol d’identifiants
au leak de propriétés de nœuds pour de l’escalade de pri-
LIRE EN LIGNE
Article
cutt.ly/simul-cyberattaque
53