Demonstration of our solutions

Connecting to the Airbus CyberRange. Selecting the project and training area. Training topology. Attacker (external). Users and Servers. SOC area. Option to extend the topology using the library. Deploying a custom website. The site is deployed and you can interact with it. And connect it to the rest of the topology. Start of the attack/defense scenario. Connect to the attacker's workstation via the remote console, through a standard web browser. Launch a network discovery using the nmap tool to identify open ports on the information system. The TCP/25 SMTP port is open for mail relay: the attacker sends a phishing email with a malicious attachment to the user. The user saves the attachment to their computer and runs it, thinking they are simply opening a .pdf file. The malware runs in parallel, giving the attacker permanent direct access to PC1. The attacker can then use other attack techniques to infiltrate the information system. Focus on the SOC part. The analyst has access to all SOC tools from their workstation: live analysis of network packets, here with Arkime, EDR console (here HarfangLab), Log analysis via the SIEM (here GrayLog), CTI console (OpenCTI), and a consolidated view of the tools in the SOAR "Cyber Maestro", an Airbus DS Cyber product. This includes alerts raised by the various tools, such as the EDR shown here, and pivoting capabilities to visualize associated artifacts. The analyst can thus create their own cases, with integrated AI assistance. At the end of the exercise, VecTR is used for feedback and training analysis. Monitoring the Kill Chain and the various Test Cases. The Red Team can enter information on the attack steps and techniques used. The Blue Team enters the associated detection levels. An exercise report, based on the MITRE ATT&CK framework, can then be generated. It describes the different phases and the associated detection level, allowing for a review of the overall exercise. It is also possible to automate the Red Team using CyberRange actions and scenarios. The graphical scenario designer allows you to customize attacks by adding actions from the library. The exercise can also be played independently in the immersive game interface of the "Infinity" module. User connection to the Infinity module. Several learning paths may be available to the user, at the instructor's discretion. Cyber Training Selection. Player launches the exercise independently. The game session is ready. The game can begin. The player enters their game environment. They have access to the objectives to complete and to a player machine that corresponds to the previously used SOC analyst position with all its tools at their disposal. The player must then complete the objectives which can be theoretical objectives, practical objectives, or even multiple-choice questions/single-choice questions. At the end of the exercise, the player fills out a survey which allows the trainer to receive feedback. On the trainer's side, everything is logged. The interface allows you to manage players, groups, courses, and missions and to have all the statistics on the missions completed: scores and rankings, details of objectives and their completion rate Resolution, detailed resolutions per player, and player feedback on the training session.

Connexion à la CyberRange Airbus. Sélection du projet et de la zone d'exercice. Topologie d'entraînement : attaquant (externe), utilisateurs et serveurs, zone SOC. Possibilité d'étendre la topologie en utilisant la librairie. Déploiement d'un site web customisé. Le site est déployé et on peut interagir avec, et le connecter au reste de la topologie. Démarrage du scénario d'attaque/défense. Connexion au poste de l'attaquant au travers de la remote console, permettant un accès déporté au travers du navigateur. Lancement d'une découverte réseau via l'outil nmap pour connaître les ports ouverts sur le SI. Le port tcp/25 SMTP est ouvert pour le relais de messagerie. Envoi d'un mail de phishing avec une pièce jointe malveillante. L'utilisateur enregistre la pièce jointe sur son poste et l'exécute, pensant simplement ouvrir un fichier .pdf. Le malware s'exécute en parallèle, permettant à l'attaquant de disposer d'un accès direct permanent sur le poste PC1. L'attaquant peut ensuite utiliser d'autres techniques d'attaques pour s'introduire dans le SI.

Focus sur la partie SOC. L'analyste a accès à l'ensemble des outils du SOC depuis son poste. Analyse live des traces réseaux, ici avec Arkime. Console de l'EDR (ici HarfangLab). Analyse de logs via le SIEM (ici GrayLog). Console CTI (OpenCTI). Et une vue consolidée des outils dans le SOAR "Cyber Maestro", produit d'Airbus DS Cyber. On y retrouve les alertes remontées par les différents outils, comme ici l'EDR, et des capacités de pivot pour visualiser les artefacts associés. L'analyste peut ainsi créer ses propres cas, avec une assistance IA intégrée.

En fin d'exercice, utilisation de VecTR pour RetEx et analyse de l'entraînement. Suivi de la Kill Chain et des différents Test Cases. La Red Team peut saisir des informations sur les étapes et techniques d'attaque utilisées. La Blue Team renseigne de son côté les niveaux de détection associés. Un rapport d'exercice, basé sur le framework MITRE ATT&CK, peut ainsi être obtenu. Il décrit les différentes phases et le niveau de détection associé, permettant un RetEx sur l'exercice global. Il est aussi possible d'automatiser la Red Team via les actions et scénarios de la CyberRange. Le designer de scénario graphique permet de personnaliser les attaques en ajoutant des actions de la librairie. L'exercice peut aussi être joué en autonomie dans l'interface de jeu immersive du module "Infinity".

Connexion de l'utilisateur au module Infinity. Plusieurs cursus peuvent être disponibles pour l'utilisateur, au choix du formateur. Sélection du Cyber Entraînement. Lancement de l'exercice en autonomie par le joueur. La session de jeu est prête. La partie peut commencer. Le joueur se retrouve dans son environnement de jeu. Il a accès aux objectifs à compléter et à une machine joueur qui correspond au poste d'analyste SOC préalablement utilisé, avec tous ses outils à disposition. Le joueur doit alors compléter les objectifs, qui peuvent être des objectifs théoriques, pratiques, ou encore des QCM/QCU. À la fin de l'exercice, le joueur remplit un sondage qui permet au formateur d'avoir du feedback. Côté formateur, tout est loggué. L'interface permet de gérer les joueurs, les groupes, les cursus, les missions et d'avoir toutes les statistiques sur les missions réalisées : les scores et le classement, le détail des objectifs et leur taux de résolution, le détail des résolutions par joueur, et le feedback des joueurs sur la session d'entraînement.