7 oppia DEF CON Cloud Village CTF:n suunnittelusta

7 oppia DEF CON Cloud Village CTF:n suunnittelusta

Aikaleima: 10. tammikuuta 2024 8
7 oppia DEF CON Cloud Village CTF PlatoBlockchain Data Intelligencen suunnittelusta. Pystysuuntainen haku. Ai.

Capture the Flag (CTF) -tapahtumat ovat hauskoja ja opettavia, ja ne tarjoavat kyberturvallisuuden ammattilaisille tavan kehittää hakkerointitaitojaan samalla kun he oppivat uusia käsitteitä rakentavassa ja turvallisessa ympäristössä. Hyvin suunnitellut CTF:t altistavat yksilöt ja ryhmät toiminnallisille haasteille, uusille hyökkäyspoluille ja luoville skenaarioille, joita voidaan myöhemmin soveltaa heidän työssään sekä hyökkäävänä että puolustavana turvallisuusalan ammattilaisena.

Mutta kaikkia CTF:itä ei luoda tasa-arvoisina, ja onnistuneen CTF-kilpailun suunnitteluun tarvitaan paljon muutakin kuin vain haasteiden keksiminen. Teknisten suunnitteluhaasteiden ohella ympäristön luomiseen ja kilpailun varsinaiseen järjestämiseen liittyvät toiminnalliset näkökohdat, kiinnostavan pelin luomiseen vaadittava luova suunnittelu sekä haasteiden pelillistämiseen liittyvät yksityiskohdat, kuten pisteytysratkaisut. rakenne on perustettu.

"Suunnittelijana haluan sen [CTF:n] olevan haastavaa hauskaa. Haluan palkita ihmisiä, jotka ovat fiksuja, todella työskenteleviä ja sinnikköitä", sanoo Netskopen Threat Research Labs -tiimin päätutkija ja viime vuoden DEF CON Cloud Village CTF -ryhmän johtaja Jenko Hwong. "Sen on myös oltava käytännöllistä, jotta voimme toteuttaa."

Hauska ja käytännöllinen oli ajattelutapa, jonka Hwong toi DEF CON CTF:iin, massiiviseen monipäiväiseen tapahtumaan, jossa yli 400 henkilöä ja tiimiä kokeili taitojaan haasteessa ja hänen alaisuudessaan toiminut 20 hengen joukkue järjesti tapahtumaa. Veteraanitutkija ja kokenut CTF-osallistuja Hwong ei ollut koskaan ajanut CTF:ää ennen tätä tapahtumaa. Yksi hänen suurimmista toiveistaan ​​ensimmäisellä yrittämisellään työssä oli nostaa tapahtuman haasteiden relevanssia ja realistisuutta, mikä voi joskus olla ongelma CTF:issä nykyään.

”Joskus näissä CTF:issä saat todella kovan haasteen, mutta ikään kuin mitä järkeä tässä on? Se on salauksen purku- tai salausongelma, jossa tapahtuma menee "Tässä on jotain, onnea", ja sitten sinun täytyy hypätä kaikkien näiden vanteiden läpi, jotka eivät ehkä ole täysin eronneet todellisuudesta, mutta jotka eivät todellakaan sovi suurempaan tarina", hän sanoo. "Joten, kun sain puhelun, ajattelin: "Hyppäätään, keksitään hyvä tarina ja hyvät haasteet, jotka ovat hauskoja, mutta myös järkeviä ja ehkä liittyvät tutkimuksen penetraatiotestauksen todelliseen maailmaan." puolustuskeinot, mitä todellisessa maailmassa tapahtuu."

Kun hän kuitenkin tunkeutui projektiin, yksi asia, jota hän piti erityisen haastavana, on se, kuinka vähän tietoa CTF:ien toiminnasta on saatavilla. Useimmat kirjoitukset ovat osallistujilta, jotka arvioivat tapahtuman ja selittävät, kuinka he ratkaisivat haasteet, mutta harvoin tarjotaan tietoa tapahtuman järjestämisen parhaista käytännöistä. Tämän seurauksena hän sanoi, että hänen ja hänen tiiminsä joutuivat tekemään paljon työtä, mikä luo haasteita lähes tyhjästä.

"Yhteisö jakaa yleensä paljon, joten miksi emme jaa CTF-haasteita?" hän sanoo. "Uskon, että voimme tehdä paremmin."

Turvallisuusyhteisön jakamisen hengessä hän jakaa tärkeitä opetuksia, jotka hänen tiiminsä otti matkan varrella, jotta muut CTF-suunnittelusta vastaavat voivat oppia ja ymmärtää prosessista. Hänen tavoitteenaan on järjestää tapahtuma uudelleen ja rakentaa viime vuonna oppimaansa. Hän toivoo myös muiden jakavan parhaita käytäntöjään ja jopa teknisiä yksityiskohtia, jotta koko tietoturvayhteisö voi parantaa tarjottavien CTF:ien laatua.

Tarinankerronta on avainasemassa

Hwong sanoo, että hänen DEF CON Cloud Village -tiiminsä oli erittäin innokas luomaan tarinan, joka oli mukaansatempaava ja hauska. Hän sanoo pitäneensä tarinaa elokuvakäsikirjoituksena, jossa oli sisäänrakennettuja realistisia kyberskenaarioita. Tapahtumaan he valitsivat teemaksi "Tontut", joka oli hauska ja hauska. mutta ei vain tarinan kirjoittaminen ollut tärkeää, vaan myös se, kuinka tekniset haasteet suunniteltiin tarinan sisällä.

"Goblinin ja gnomien tarina kietoutui kaiken ympärille, mutta tärkeintä oli järkevien skenaarioiden keksiminen, joita saatat kohdata turvallisuusammattilaisena, mukaan lukien hyökkäysreitit ja kohtuulliset puolustukset, joita kohtaat", hän sanoo. "Mitä enemmän voimme tehdä sitä CTF-suunnittelijoina, sitä parempi se on oppimiselle ja sitä hauskempaa CTF."

Ota ohjelmistokehityksen lähestymistapa

CTF:n tekijöiden tulisi ehdottomasti ottaa ohjelmistokehityksen lähestymistapa haasteensa teknisten elementtien suunnitteluun, Hwong suosittelee.

"Sinun täytyy ajatella suunnittelua, toteutusta ja testausta", hän sanoo ja selittää, että hän ja hänen tiiminsä oppivat kovalla tavalla, kuinka vaikeaa voi olla testata haasteita monimutkaisessa CTF-ympäristössä, jota osallistujat voivat manipuloida monin eri tavoin. .

"Mitä tapahtui – ja otan syyn johtavana luojana siitä, että emme ohjanneet testausta – on, että missamme negatiivisen testauksen ja elinkelpoisuustarkastukset", hän sanoo. ”Osaksi meillä ei ollut tarpeeksi aikaa testata, joten jatkoin joidenkin ympäristöjen lukitsemista haasteen ollessa käynnissä, jotta osa haasteista ei olisi liian helppoa ja porsaanreikiä ei olisi. Luulen, että jossain vaiheessa tunnin tai kaksi päädyin tekemään jotain ratkaisematonta tietyssä vaiheessa."

Joten yksi suurimmista opetuksista, jonka hän oppi, on se, että CTF-suunnittelijoiden on tuotava ohjelmistokehityksen kurinalaisuus pöytään, joka kulkee läpi testauksen ja kannattavuustyön.

Toiminnallinen kurinalaisuus… ja vähän kofeiinia

Huolellisuus ohjelmistokehityksessä ei ole ainoa tekninen ominaisuus, jonka täytyy tulla pöydälle. CTF:ää pyörittävä miehistö tarvitsee myös vakavaa toiminnallista kurinalaisuutta.

"Meillä oli upeita ihmisiä, jotka pyörittivät palvelimia ja AWS-tilejä sekä Google- ja Azure-tilejä ja varmistavat, että asiat jatkuvat ja että valvomme asioita", hän sanoo. "Kaikki ne asiat on hoidettava. Ja jos jätät sen huomiotta, se voi vain tarkoittaa, että asiat epäonnistuvat, hajoavat tai sinulla on suorituskykyongelmia."

Yksi heidän kohtaamistaan ​​toiminnallisista ongelmista oli se, että he kokivat yhteentörmäyksiä osallistujien ja haasteiden välillä, sillä tiimin toiminta oli rajoittunutta, koska he eivät pystyneet luomaan erillistä ympäristöä jokaiselle osallistujalle AWS:ssä, Googlessa ja Azuressa.

"Koska se oli samassa ympäristössä, se auttoi heitä muissa haasteissa ja jos sinulla on haaste, joka vaatii ympäristön muuttamista, ihmiset astuvat toistensa varpaille ja muuttavat yhteistä esinettä", hän sanoi ja selitti, että hän ja hänen tiimin täytyi nollata käytännöt, kun CTF rullasi eteenpäin, jotta osallistujat eivät törmäisi toisiinsa.

Hän ja hänen tiiminsä yrittävät oppia kokemuksista löytääkseen käytännön menetelmän – ajan, vaivan ja kustannusten näkökulmasta – antaakseen osallistujille todella eristyneen ympäristön ilman, että koko CTF heikkenee, koska asiat hajoavat tai niiden toteuttaminen kestää ikuisuuden.

Lopuksi Hwong sanoo, että operatiivisella rintamalla CTF-näyttelyn juoksijoiden on myös oltava tietoisia jatkuvasta viestinnästä, jota heidän on helpotettava joukkueensa ja osallistujien välillä.

"Olin Discordissa puolenyön jälkeen ja olen kuin: "Minulla on puhe aamulla, menisitkö nukkumaan?", vitsaili Hwong, joka selitti, että osallistujilla on kysymyksiä ja he aikovat pyydä järjestäjiltä vinkkejä ja ohjeita kaikkina aikoina.

Eri vaikeustasojen suunnittelu on vaikeaa

Haasteiden vaikeustasojen oikea saaminen ja oikeudenmukaisen pisteytysjärjestelmän luominen voi olla vaikeampaa kuin aloittelija CTF-järjestäjä saattaa aluksi ajatella, Hwong varoitti. Hän selitti, että muutamat hänen tiiminsä helpoiksi suunnittelemista tasoista olivat osallistujille vaikeampia suorittaa kuin he olivat odottaneet, kun taas jotkin haastavammat tasot suoriutuivat onnistuneesti odotettua useamman osallistujan toimesta.

Käsi kädessä tasoitusvaikeushaasteen kanssa on järkevän pisteytysjärjestelmän keksiminen. Kokemuksensa jälkeen DEF CONissa Hwong kannattaa jonkinlaista Bell Curve -pisteytysjärjestelmää. Mutta hän sanoo, että ongelma ei ole niin yksinkertainen kuin käyrän luominen. Ongelmana on myös suurten CTF-tiimien haastepisteiden keräämisen etujen normalisointi ja tasapainottaminen – ongelma, josta yksi osallistujista antoi hänelle palautetta tapahtuman jälkeen.

”Joten jos haasteesi voidaan jakaa ja tehdä rinnakkain useille pelaajille, jos minulla on 10 ihmistä, olen 10 kertaa nopea. Ja siitä on siis etua, hän sanoo. "Hänen pointtinsa oli jonkinlainen dynaaminen pisteytys. Jos on asioita, joissa hän on todella, todella hyvä, hän saattaa olla ainoa, joka ratkaisee ne, ja hän saa maksimipisteitä. Kellokäyrä palkitsee hänet suhteessa mittakaavaan ei välttämättä ole väliä, jos se on jotain hänen asiantuntemuksensa ohjaushytissä 10 vastaan ​​yksi. Täällä on kiistanalaisia ​​asioita, jotka meidän on käsiteltävä."

Yksi mahdollisuus on tehdä haasteista peräkkäisiä, mutta sen haittapuolena on, että se voi tehdä CTF:stä liian jäykän ja lineaarisen, ja se voi luoda pullonkaulan tai riippuvuuksia, jotka voivat räjäyttää yhden tai useamman haasteen. Hwong sanoo, että hän haluaisi myös nähdä useamman CTF:n palkitsevan osallistujia sellaisista tekniikoista kuin siitä, kuinka vaivattomasti he toimivat ympäristössä tai telakointipisteissä, jos he jättävät liikaa jalanjälkiä ja sormenjälkiä, ja tämä on alue, jota hän haluaisi tutkia suunnitteleessaan tulevia tapahtumia. .

Siitä huolimatta dynaaminen pisteytys voi lievittää joitain tasoitusongelmia, ja hän ja hänen tiiminsä pyrkivät siihen tulevalle vuodelle.

Blue Teams tarvitsee enemmän hauskoja CTF-haasteita

Kävittyään läpi ensimmäisen CTF:nsä Hwong uskoo myös yhä enemmän, etteivät nämä tapahtumat riitä haastamaan sinisen tiimin osallistujia ja todella sitouttamaan niitä.

"Sinisen tiimin harjoitukset menevät yleensä näin: "Meillä on väärin konfiguroitu ympäristö, jossa on paljon haavoittuvuuksia. Voitko mennä korjaamaan ne?” hän sanoo. Ja he vain testaavat, onko näitä kokoonpanoja muutettu vai ei, tai pääsenkö tähän julkiseen lokeroon. Ja heti kun teet sen yksityiseksi, tiedämme, että korjasit sen ja saat pisteitä. Olisi paljon parempi tehdä asioita tämän lisäksi, kuten mitä jos olet vaarantunut, ympäristössäsi on hyökkääjä, sinun on löydettävä hänet ja potkittava hänet ulos. Joten sinulla on nyt meneillään tapaus, ja niin kauan kuin hyökkääjä on, hänellä on valtuustiedot ja niin kauan kuin he tekevät asioita, saatat pystyä havaitsemaan sen. Se on sinun tehtäväsi osallistujana. Ja ennen kuin peruutat heidän pääsynsä, et ratkaise sitä etkä saa enimmäispisteitä."

Tällaisia ​​skenaarioita on vaikeampi toteuttaa, mutta ne ovat realistisempia puolustajille ja tekevät CTF:istä arvokkaampia heille, hän sanoo ja selittää, että se on hänen tutkassaan seuraavalla kerralla.

CTF:t tarvitsevat lisää tuoreita ja osuvia komponentteja.

Hwong haastaa myös CTF-suunnittelijat – ja itsensä – sisällyttämään haasteisiinsa tuoreempaa tietoa hyväksikäytöstä ja haavoittuvuudesta. Tämä oli yksi niistä asioista, joihin hän toivoi, että hänellä olisi enemmän aikaa sukeltaa ensimmäisellä kerralla DEF CON Cloud Villagessa ja jota hän on päättänyt parantaa ensi vuonna.

"Tämä on yksi niistä alueista, joilla CTF:t voivat olla enemmän oppimis- ja koulutustyökalu", hän selittää. "Haluaisimme käyttää asiaankuuluvia ideoita ja hyödynnyksiä, jotka ovat tuoreita tutkijoilta aiemmin tänä vuonna tai jopa esitelty DEF CONissa."

CTF "rakennuspalikat" "uudelleenkäytettävyyden" parantamiseksi

Lopuksi, yksi suurimmista opetuksista, jonka Hwong sanoo oppineensa, on se, että teollisuuden on löydettävä lisää tapoja luoda uudelleenkäytettäviä komponentteja CTF:lle aivan kuten ohjelmistokehittäjät tekevät sovelluksille. Hän haaveilee auttaa järjestämään avoimen GitHub-varaston pienistä koodiharjoituksista, jotka voivat muodostaa CTF:n rakentamisen rakennuspalikoita.

"Sinun on edelleen mukautettava sitä ja lisättävä oma kierre, mutta ideana on, että otetaan ensimmäiset 60% pois tieltä, jotta CTF-järjestäjät voivat keskittyä todella uusiin asioihin. Näin kukaan ei keksi pyörää uudelleen", hän sanoo. "Ja sitten loput 40 % voidaan lisätä uusien tekniikoiden, skenaarioiden ja juonien lisäämiseen."

Aikaleima:

Lisää aiheesta Pimeää luettavaa