7 دروس مستفادة من تصميم DEF CON Cloud Village CTF

7 دروس مستفادة من تصميم DEF CON Cloud Village CTF

الطابع الزمني: 10 يناير 2024 8:00 مساءً
7 دروس مستفادة من تصميم DEF CON Cloud Village CTF PlatoBlockchain Data Intelligence. البحث العمودي. منظمة العفو الدولية.

تعتبر أحداث Capture the Flag (CTF) ممتعة وتعليمية، وتوفر لمحترفي الأمن السيبراني وسيلة لاستعراض مهاراتهم في القرصنة أثناء تعلم مفاهيم جديدة في بيئة بناءة وآمنة. تعرض CTFs المصممة جيدًا الأفراد والفرق للتحديات التشغيلية ومسارات الهجوم الجديدة والسيناريوهات الإبداعية التي يمكن تطبيقها لاحقًا في عملهم كمحترفين في مجال الأمن الهجومي والدفاعي.

ولكن لم يتم إنشاء جميع صناديق الاستثمار المتداولة على قدم المساواة، وهناك الكثير مما يتطلبه تصميم مسابقة CTF ناجحة أكثر من مجرد مواجهة التحديات. إلى جانب تحديات التصميم الفني، هناك أيضًا اعتبارات تشغيلية تتعلق بتهيئة البيئة وإدارة المنافسة فعليًا، والتخطيط الإبداعي المطلوب لإعداد لعبة جذابة، ووضع التفاصيل المتعلقة بإضفاء طابع اللعب على التحديات، مثل المفاضلات في كيفية تسجيل النقاط تم إعداد الهيكل.

"بصفتي مصممًا، أريد أن يكون [CTF] ممتعًا ومليئًا بالتحديات. يقول Jenko Hwong، الباحث الرئيسي في فريق Netskope’s Threat Research Labs وقائد الفريق في DEF CON Cloud Village CTF العام الماضي: "أريد مكافأة الأشخاص الأذكياء، الذين يعملون حقًا في هذا المجال، والمثابرين". "كما يجب أن يكون تنفيذه عمليًا بالنسبة لنا."

كانت العقلية الممتعة والعملية التي جلبها Hwong إلى DEF CON CTF، عبارة عن حدث ضخم استمر لعدة أيام وشارك فيه أكثر من 400 فرد وفريق يجربون أيديهم في التحدي وفريق من 20 شخصًا يعملون تحت قيادته لإدارة الحدث. وهو باحث مخضرم ومشارك متمرس في CTF، ولم يسبق لهونغ أن أدار CTF قبل هذا الحدث. كان أحد أكبر آماله في محاولته الأولى في الوظيفة هو رفع مستوى الملاءمة والواقعية للتحديات في هذا الحدث، والتي يمكن أن تكون في بعض الأحيان مخيفة في CTFs اليوم.

"في بعض الأحيان، تواجه تحديًا صعبًا للغاية في صناديق الاستثمار المتداولة هذه، لكن ما الهدف من هذا؟ ستكون مشكلة فك التشفير أو التشفير، حيث يذهب الحدث، "هذا شيء، حظًا سعيدًا"، ثم يتعين عليك القفز عبر كل هذه الأطواق التي قد لا تكون منفصلة تمامًا عن الواقع ولكنها لا تتناسب حقًا مع مشكلة أكبر "قصة" ، كما يقول. "لذلك، عندما تلقيت المكالمة، كان تفكيري هو "دعونا نبدأ، دعونا نكتشف قصة جيدة ومجموعة جيدة من التحديات التي ستكون ممتعة ولكنها أيضًا منطقية وربما تتعلق بالعالم الحقيقي لاختبار اختراق الأبحاث، التدابير الدفاعية، ما يحدث في العالم الحقيقي.

ومع ذلك، عندما انغمس في المشروع، وجد شيئًا واحدًا يمثل تحديًا خاصًا وهو قلة المعلومات المتوفرة حول تشغيل CTFs. تأتي معظم المقالات المكتوبة من مشاركين يقومون بتقييم الحدث وشرح كيفية حل التحديات، ولكن نادرًا ما يتم تقديم معلومات حول أفضل الممارسات في إدارة الحدث. ونتيجة لذلك، قال إنه كان عليه وفريقه القيام بالكثير من العمل لخلق تحديات من الصفر تقريبًا.

"يتشارك المجتمع عمومًا الكثير من الأشياء، فلماذا لا نشارك تحديات CTF؟" هو يقول. "أعتقد أننا يمكن أن نفعل ما هو أفضل."

ومن منطلق روح المشاركة في المجتمع الأمني، فهو يشارك بعض الدروس المهمة التي التقطها فريقه على طول الطريق حتى يتمكن الآخرون المسؤولين عن تصميم CTF من التعلم والفهم من العملية. هدفه هو إدارة الحدث مرة أخرى والبناء على ما تعلموه العام الماضي. ويأمل أيضًا أن يشارك الآخرون أفضل ممارساتهم، وحتى التفاصيل الفنية، حتى يتمكن مجتمع الأمان بأكمله من تحسين جودة CTFs المقدمة.

رواية القصص هي المفتاح

يقول Hwong أن فريق DEF CON Cloud Village كان حريصًا جدًا على صياغة قصة جذابة وممتعة. ويقول إنه فكر في القصة كسيناريو فيلم يتضمن سيناريوهات إلكترونية واقعية. وقد اختاروا لهذا الحدث موضوع "Gnomes" الذي كان ممتعًا ومضحكًا. لكن لم تكن كتابة القصة هي المهمة فحسب، بل أيضًا كيفية التخطيط للتحديات التقنية داخل القصة.

يقول: "لقد اشتملت قصة العفريت والتماثيل على كل شيء، ولكن الشيء المهم هو طرح سيناريوهات معقولة قد تواجهها كمحترف أمني، بما في ذلك مسارات الهجوم والدفاعات المعقولة التي قد تواجهها". "كلما تمكنا من القيام بذلك كمصممي CTF، كان ذلك أفضل للتعلم وأكثر متعة CTF."

اتبع نهج تطوير البرمجيات

يجب على منشئي CTF بالتأكيد اتباع نهج تطوير البرمجيات لتصميم العناصر التقنية للتحدي الذي يواجهونه، كما يوصي هوونغ.

يقول: "عليك أن تفكر في التصميم والتنفيذ والاختبار"، موضحًا أنه وفريقه تعلموا بالطريقة الصعبة مدى صعوبة اختبار التحديات في بيئة CTF المعقدة التي يمكن للمشاركين التلاعب بها بطرق عديدة. .

يقول: "ما حدث - وسأتحمل اللوم بصفتي المبدع الرئيسي لعدم توجيه الاختبار - هو أننا فوتنا اجتياز الاختبار السلبي، بالإضافة إلى فحوصات الصلاحية". "يعود جزء من ذلك إلى أنه لم يكن لدينا ما يكفي من الوقت للاختبار، لذلك كنت مستمرًا في تأمين بعض البيئات حيث كان التحدي جاريًا، لذلك لن تكون بعض التحديات سهلة للغاية ولم تكن هناك ثغرات. أعتقد أنه في مرحلة ما لمدة ساعة أو ساعتين انتهى بي الأمر إلى صنع شيء غير قابل للحل في خطوة معينة.

لذلك، أحد الدروس الكبيرة التي تعلمها هو أن مصممي CTF يحتاجون إلى تطبيق الدقة في تطوير البرمجيات على الطاولة والتي تمتد على طول الطريق من خلال أعمال الاختبار والجدوى.

الصرامة التشغيلية... والقليل من الكافيين

إن الدقة في تطوير البرمجيات ليست هي القدرة التقنية الوحيدة التي يجب طرحها على الطاولة. يحتاج الطاقم الذي يدير CTF أيضًا إلى بعض الصرامة التشغيلية الجادة.

يقول: "كان لدينا بعض الأشخاص الرائعين الذين يديرون الخوادم وحسابات AWS وحسابات Google وAzure ويتأكدون من استمرار سير الأمور ومن أننا نراقب الأمور". "كل هذه الأشياء يجب التعامل معها. وإذا تجاهلت ذلك، فقد يعني ذلك فشل الأشياء أو تعطلها أو أن لديك مشاكل في الأداء.

كانت إحدى المشاكل التشغيلية التي واجهوها هي أنهم واجهوا بعض التصادم بين المشاركين والتحديات، حيث كان الفريق يعمل مع قيود تتمثل في عدم تمكنهم من إنشاء بيئة مستقلة لكل مشارك عبر AWS وGoogle وAzure.

وقال: "لأنه كان في نفس البيئة، فقد ساعدهم في مواجهة تحديات أخرى، وإذا كان لديك تحدي يتطلب تغيير البيئة، فستجد أشخاصًا يدوسون على أصابع بعضهم البعض، ويغيرون شيئًا مشتركًا"، موضحًا أنه هو وفريقه كان على الفريق إعادة ضبط السياسات مع تقدم CTF حتى لا يصطدم المشاركون ببعضهم البعض.

ويحاول هو وفريقه التعلم من هذه التجربة لاكتشاف طريقة عملية - من منظور الوقت والجهد والنفقات - لمنح المشاركين بيئة معزولة حقًا دون جعل CTF بأكمله أقل قابلية للتطبيق لأن الأمور تتعطل أو تستغرق وقتًا طويلاً للتنفيذ.

أخيرًا، يقول هوونج إنه على الجبهة التشغيلية، يجب على المتسابقين في عرض CTF أيضًا أن يضعوا في اعتبارهم التواصل المستمر الذي سيحتاجون إلى تسهيله بين فريقهم والمشاركين.

قال هوونغ مازحًا: "لقد كنت في Discord بعد منتصف الليل وقلت لنفسي: لدي محادثة لألقيها في الصباح، هل ستخلد إلى النوم؟"، وأوضح أن المشاركين سيكون لديهم أسئلة وسيقومون بطرحها كن منظمًا للحصول على النصائح والمؤشرات في جميع الأوقات.

من الصعب تصميم مستويات مختلفة من الصعوبة

حذر هوونغ من أن الحصول على مستويات صعوبة التحديات بشكل صحيح وإنشاء نظام تسجيل عادل قد يكون أصعب مما قد يعتقده منظم CTF المبتدئ في البداية. وأوضح أن بعض المستويات التي صممها فريقه على أنها أسهل كان إكمالها أكثر صعوبة على المشاركين مما توقعوا، في حين تم الانتهاء من بعض المستويات الأكثر تحديًا بنجاح بواسطة عدد أكبر من المشاركين مما كان متوقعًا.

جنبًا إلى جنب مع تحدي تسوية الصعوبة، يتم اكتشاف نظام تسجيل منطقي. بعد تجربته في DEF CON، كان Hwong مؤيدًا للقيام بنوع من نظام تسجيل Bell Curve. لكنه يقول إن المشكلة ليست واضحة مثل إنشاء منحنى. هناك أيضًا مسألة تطبيع وموازنة الميزة التي تتمتع بها فرق CTF الكبيرة في تجميع نقاط التحدي - وهي مشكلة قدم له أحد المشاركين تعليقاته بشأنها بعد الحدث.

"لذا، إذا كان من الممكن تقسيم تحدياتك وتنفيذها بالتوازي مع عدة لاعبين، وإذا كان لدي 10 أشخاص، فسوف أتمكن من ذلك 10 مرات بسرعة. ويقول: "لذلك هناك ميزة". "كانت وجهة نظره عبارة عن نوع من مستويات التسجيل الديناميكية إلى حد ما. إذا كانت هناك أشياء يجيدها حقًا، فقد يكون هو الشخص الوحيد الذي يحلها وسيحصل على أكبر عدد من النقاط. إن منحنى الجرس سوف يكافئه مقابل المقياس لا يهم بالضرورة إذا كان شيئًا في غرفة القيادة الخاصة به من حيث الخبرة من حيث 10 مقابل واحد. هناك بعض الأمور القابلة للنقاش هنا وعلينا أن نعمل من خلالها."

أحد الاحتمالات هو جعل التحديات متسلسلة، ولكن الجانب السلبي لذلك هو أنها يمكن أن تجعل CTF جامدة وخطية للغاية، ويمكن أن تخلق عنق الزجاجة أو التبعيات التي يمكن أن تنفجر واحدًا أو أكثر من التحديات. يقول Hwong إنه يود أيضًا رؤية المزيد من CTFs تكافئ المشاركين على تقنيات مثل مدى عملهم خلسة في بيئة أو نقاط الإرساء إذا تركوا الكثير من آثار الأقدام وبصمات الأصابع، وهذا مجال يرغب في استكشافه أثناء تصميم الأحداث المستقبلية .

وبغض النظر عن ذلك، فإن التسجيل الديناميكي هو شيء يمكن أن يخفف من بعض مشكلات التسوية، وهو وفريقه يتابعون ذلك في العام المقبل.

تحتاج الفرق الزرقاء إلى المزيد من تحديات CTF الممتعة

بعد العمل من خلال أول CTF له، يعتقد Hwong أيضًا بشكل متزايد أن هذه الأحداث لا تفعل ما يكفي لتحدي المشاركين في الفريق الأزرق وإشراكهم حقًا.

"تميل تدريبات الفريق الأزرق إلى السير على النحو التالي: "لدينا بيئة سيئة التكوين بها الكثير من نقاط الضعف. هل يمكنك الذهاب لإصلاحهم؟‘‘ هو يقول. "وما يفعلونه هو أنهم يختبرون فقط ما إذا كانت هذه التكوينات قد تم تغييرها أم لا أو ما إذا كان بإمكاني الوصول إلى هذه المجموعة العامة. وبمجرد أن تجعل الأمر خاصًا، نعلم أنك أصلحته وستحصل على النقاط. سيكون من الأفضل القيام بأشياء علاوة على ذلك، مثل ما إذا تم اختراقك، أو كان هناك مهاجم في بيئتك، فعليك العثور عليه وطرده. إذن، لديك حادثة تجري الآن، وطالما أن المهاجم موجود، فإن لديه بيانات اعتماد وطالما أنه سيفعل الأشياء، فقد تتمكن من اكتشافه. هذه هي وظيفتك كمشارك. وحتى تقوم بإلغاء وصولهم، فإنك لا تحل المشكلة ولن تحصل على الحد الأقصى من النقاط.

يقول إن هذا النوع من السيناريوهات أصعب في التنفيذ، لكنها أكثر واقعية بالنسبة للمدافعين وستجعل صناديق تمويل الإرهاب أكثر قيمة بالنسبة لهم، موضحًا أن ذلك على راداره في المرة القادمة.

تحتاج CTFs إلى المزيد من المكونات الجديدة وذات الصلة.

يتحدى Hwong أيضًا مصممي CTF - ونفسه - لدمج المزيد من معلومات الثغرات والثغرات الجديدة في تحدياتهم. لقد كان هذا أحد الأشياء التي تمنى لو كان لديه المزيد من الوقت للتعمق فيها في جولته الأولى في DEF CON Cloud Village والتي عقد العزم على تحسينها في العام المقبل.

ويوضح قائلاً: "هذا هو أحد المجالات التي يمكن لصناديق الاستثمار القطرية أن تكون فيها أداة للتعلم والتدريب". "نود أن نستخدم الأفكار ذات الصلة والمآثر الجديدة التي قدمها الباحثون والتي حدثت في وقت سابق من العام أو حتى تم تقديمها في DEF CON."

"اللبنات الأساسية" لـ CTF لتحسين "قابلية إعادة الاستخدام"

أخيرًا، يقول هوونغ إن أحد أكبر الدروس التي تعلمها هو أن الصناعة تحتاج إلى إيجاد المزيد من الطرق لإنشاء مكونات قابلة لإعادة الاستخدام لـ CTF تمامًا كما يفعل مطورو البرامج للتطبيقات. إنه يحلم بالمساعدة في تنظيم مستودع GitHub مفتوح للتمارين الصغيرة في التعليمات البرمجية التي يمكن أن تشكل اللبنات الأساسية لبناء CTF.

"لا يزال يتعين عليك تخصيصه وإضافة لمسة خاصة بك، ولكن الفكرة هي أن نتخلص من أول 60% من الطريق حتى يتمكن منظمو CTF من التركيز على أشياء جديدة حقًا. بهذه الطريقة لن يتمكن أحد من إعادة اختراع العجلة. "وبعد ذلك يمكن للـ 40% المتبقية إضافة تقنيات وسيناريوهات وقصص جديدة."

الطابع الزمني:

اكثر من قراءة مظلمة