Microsoft: Този нов инструмент с отворен код ви помага да тествате отново защитата си хакерски атаки

Microsoft има пусна SimuLand, проект с отворен код, който има за цел да помогне на екипите за сигурност да възпроизведат известни сценарии за атаки – и да тества колко добри са основните продукти на Microsoft за сигурност.

SimuLand е набор от лабораторни среди, които позволяват на изследователите да тестват защитата на Microsoft. Рамката може да се използва от изследователите за тестване и проверка на ефективността на свързаните Microsoft 365 Defender, Azure Defender, и Azure Sentinel открития.

Microsoft планира да добави още сценарии за атаки в бъдеще, но каза, че целта на проекта е да помогне на екипите за сигурност да разберат основното поведение и функционалност на противниковите търговски кораби и да идентифицират смекчаванията и пътищата на атакуващите, като документират предпоставките за всяко действие на нападателя и по този начин валидират и възможности за откриване на мелодия.

Понастоящем той включва само средата за “Златен SAML AD FS Достъп до пощата“- атака срещу схемата за удостоверяване на Active Director Federation Services (AD FS) на Microsoft. Това е забележителна, която засяга Microsoft 365 и нещо подобно беше използвано заедно с атаката на веригата за доставки на софтуер Solar Winds, която засегна FireEye и Microsoft.

САЩ и Великобритания обвиниха руското разузнаване в нападението SolarWinds. Като FireEye обяснено миналия месец, хакерите откраднаха сертификата за подписване на токени от AD FS сървъра на организацията, който им позволи да заобиколят MFA и да получат достъп до облачните услуги на Microsoft, сякаш са одобрен потребител. Той се възползва от дизайна на процеси за локални сървъри за AD, удостоверяващи се в базирани на облак услуги на Microsoft 365, като имейл.

Според Microsoft, неговият инструмент ще позволи на изследователите да “симулират противник, откраднал сертификат за подписване на токени AD FS, от” предварително “сървър на AD FS, за да подпишат токена SAML, да се представят за привилегирован потребител и в крайна сметка да събират пощенски данни в наемател чрез API на Microsoft Graph. “

Microsoft обещава, че SimuLand ще „разшири изследванията на заплахите, като използва телеметрия и криминалистични артефакти, генерирани след всяко симулационно упражнение“.

Бъдещите подобрения на проекта включват:

  • Модел на данни за документиране на стъпките на симулация по по-организиран и стандартизиран начин.
  • CI / CD тръбопровод с Azure DevOps за разполагане и поддържане на инфраструктура.
  • Автоматизация на атаките в облака чрез Azure Functions.
  • Възможности за експортиране и споделяне на телеметрия, генерирани с общността InfoSec.
  • Интеграция на лаборатории за оценка на Microsoft Defender.

Azure Sentinel, базираната на облака система за информация и управление на събития (SIEM) в облака също е на фокус. SimuLand ще помогне на потребителите да намерят заплахи в Sentinel, когато разследват атака.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com