Network Flight Simulator: ferramenta de simulação de adversário de código aberto

Início » Cibersegurança » Network Flight Simulator: ferramenta de simulação de adversário de código aberto

Read Time:1 Minute, 48 Second

Network Flight Simulator é um utilitário leve que gera tráfego de rede malicioso e ajuda as equipes de segurança a avaliar os controles de segurança e a visibilidade da rede.

A ferramenta realiza testes para simular tunelamento DNS, tráfego DGA, solicitações para destinos C2 ativos conhecidos e outros padrões de tráfego suspeitos.

“Há muito óleo de cobra no setor de segurança em relação à cobertura de detecção de ameaças em produtos em geral (por exemplo, EDR, SIEM, firewalls, proxies) que leva as equipes de segurança a tomarem decisões de compra uniformes. Vemos isso no AlphaSOC quando geramos alertas com base em C2 e atividades de exfiltração, que não são acionados por outras ferramentas nos ambientes do cliente. Criamos o Network Flight Simulator para permitir que as equipes quantifiquem e meçam a cobertura de suas ferramentas e detecções existentes”, disse Chris McNab , cofundador da AlphaSOC, a empresa por trás do Network Flight Simulator, à Help Net Security.

O AlphaSOC rastreia a infraestrutura maliciosa em famílias de malware e estruturas C2 (por exemplo, Cobalt Strike, Mythic, Metasploit) e o Network Flight Simulator usa esses dados em tempo real para sintetizar o tráfego on-line para a infraestrutura maliciosa atual. A ferramenta não usa uma lista estática de destinos para testar, mas recupera destinos C2 ativos da API AlphaSOC.

O sistema também gera tráfego para domínios “semelhantes” que registramos para representar marcas conhecidas on-line, para que as equipes possam avaliar a cobertura sobre spear phishing e padrões de ataque direcionados (por exemplo, aqueles usados pelo Grupo Lazarus nos últimos meses ) .

Os módulos fornecidos com o utilitário são:

“Sendo um projeto de código aberto hospedado no GitHub , temos novos módulos propostos que estendem a cobertura para padrões de exfiltração sobre SCTP, FTP, DNS criptografado, Tor e canais de e-mail (por exemplo, POP3 e SMTP usados por muitas famílias de malware). Esses são padrões maliciosos que os produtos de segurança legados e as plataformas SIEM enfrentam desafios para identificar, e gostaríamos de ajudar as equipes de segurança a entender melhor e preencher as lacunas em sua cobertura de detecção”, concluiu McNab.

FONTE: HELP NET SECURITY

POSTS RELACIONADOS

Fraude com Deepfake: estratégias de proteção para bancos e instituições financeiras

Por Ammar Faheem | Product Marketing Manager da Thales Na era da Inteligência Artificial Generativa (Gen AI), bancos e instituições

Ler mais

25/11/2024

Por que a Gestão de Acesso Privilegiado (PAM) é Essencial para Proteger os Dados de Governos Estaduais, Locais e Instituições de Ensino (SLED)

Por Marc Doniger, VP of Sales & Director of Public Sector – SLED da BeyondTrust Descubra como as soluções PAM

Ler mais

22/11/2024

Imperva: Líder em WAAP – Segurança de Aplicações

Por Ziv Rika A Imperva – uma empresa Thales e fornecedora líder em soluções de proteção de Aplicações Web e

Network Flight Simulator: ferramenta de simulação de adversário de código aberto

POSTS RELACIONADOS

Fraude com Deepfake: estratégias de proteção para bancos e instituições financeiras

Por que a Gestão de Acesso Privilegiado (PAM) é Essencial para Proteger os Dados de Governos Estaduais, Locais e Instituições de Ensino (SLED)

Imperva: Líder em WAAP – Segurança de Aplicações

Categorias

Posts Recentes

Fraude com Deepfake: estratégias de proteção para bancos e instituições financeiras

Por que a Gestão de Acesso Privilegiado (PAM) é Essencial para Proteger os Dados de Governos Estaduais, Locais e Instituições de Ensino (SLED)

Imperva: Líder em WAAP – Segurança de Aplicações

Um guia crítico para proteger grandes modelos de linguagem

Reduzindo a fadiga de alertas ao simplificar os processos do SOC

Black Friday: cibersegurança no varejo em tempos de alto risco

Feito por VP DIGITAL