DEF CON Cloud Village CTF 설계를 통해 얻은 7가지 교훈

CTF(Capture the Flag) 이벤트는 재미 있고 교육적이며, 사이버 보안 전문가에게 건설적이고 안전한 환경에서 새로운 개념을 배우면서 해킹 기술을 유연하게 활용할 수 있는 방법을 제공합니다. 잘 설계된 CTF는 개인과 팀을 운영 문제, 새로운 공격 경로, 나중에 공격 및 방어 보안 전문가로서 작업에 적용할 수 있는 창의적인 시나리오에 노출시킵니다.

그러나 모든 CTF가 동일하게 만들어지는 것은 아니며, 성공적인 CTF 대회를 설계하는 데에는 단순히 도전 과제를 제시하는 것보다 더 많은 것이 필요합니다. 기술적 설계 과제와 함께 환경 설정 및 실제로 대회를 운영하는 것과 관련된 운영 고려 사항, 매력적인 게임을 설정하는 데 필요한 창의적인 계획, 점수 방법의 절충과 같은 과제를 게임화하는 것과 관련된 세부 사항을 고려하는 것도 있습니다. 구조가 설정되어 있습니다.

“디자이너로서 저는 [CTF]가 도전적이고 재미있기를 바랍니다. 저는 영리하고, 실제로 노력하고, 끈질긴 사람들에게 보상하고 싶습니다.”라고 Netskope Threat Research Labs 팀의 수석 연구원이자 작년 DEF CON Cloud Village CTF의 팀 리더인 Jenko Hwong은 말합니다. “또한 우리가 수행하려면 실용적이어야 합니다.”

재미있고 실용적인 것은 Hwong이 DEF CON CTF에 가져온 사고방식이었습니다. DEF CON CTF는 400명 이상의 개인과 팀이 도전에 도전하고 20명으로 구성된 팀이 이벤트를 운영하기 위해 노력하는 대규모 행사였습니다. 베테랑 연구원이자 노련한 CTF 참가자인 Hwong은 이번 행사 이전에 CTF를 운영한 적이 없었습니다. 그의 첫 번째 직업 시도에 대한 그의 가장 큰 희망 중 하나는 이벤트에서 도전 과제의 관련성과 현실성을 높이는 것이었습니다. 이는 오늘날 CTF에서 때때로 부가부일 수 있습니다.

“때때로 이러한 CTF에서는 정말 어려운 도전에 직면하지만 이것이 무슨 의미가 있을까요? 복호화 또는 암호화 문제가 될 것입니다. 이벤트는 '여기에 뭔가가 있습니다. 행운을 빕니다'라고 말한 다음 현실과 완전히 분리될 수는 없지만 실제로는 더 큰 문제에 맞지 않는 모든 문제를 뛰어넘어야 합니다. 줄거리”라고 그는 말한다. “그래서 전화를 받았을 때 내 생각은 '재밌으면서도 이해가 되고 연구 침투 테스트의 실제 세계와 관련이 있는 좋은 이야기와 좋은 도전 과제를 찾아보자'였습니다. 방어 조치, 현실 세계에서 무슨 일이 일어나고 있는지.'”

하지만 그가 프로젝트에 뛰어들면서 특히 어려웠던 점 중 하나는 CTF 운영에 대한 정보가 얼마나 적다는 것이었습니다. 대부분의 글은 이벤트를 평가하고 문제를 해결한 방법을 설명하는 참가자의 글이지만 이벤트 실행의 모범 사례에 대한 정보는 거의 제공되지 않습니다. 그 결과, 그는 그와 그의 팀이 거의 처음부터 도전 과제를 만드는 데 엄청난 양의 작업을 수행해야 했다고 말했습니다.

"커뮤니티는 일반적으로 많은 것을 공유하는데 왜 CTF 과제를 공유하지 않습니까?" 그는 말한다. "내 생각엔 우리가 더 잘할 수 있을 것 같아."

보안 커뮤니티 공유의 정신으로 그는 CTF 설계를 담당하는 다른 사람들이 프로세스에서 배우고 이해할 수 있도록 그의 팀이 그 과정에서 얻은 몇 가지 중요한 교훈을 공유합니다. 그의 목표는 행사를 다시 운영하고 작년에 배운 내용을 토대로 구축하는 것입니다. 그는 또한 다른 사람들이 모범 사례와 기술적 세부 사항까지 공유하여 전체 보안 커뮤니티가 제공되는 CTF의 품질을 향상시킬 수 있기를 바랍니다.

스토리텔링이 핵심이다

Hwong은 그의 DEF CON Cloud Village 팀이 매력적이고 재미있는 스토리라인을 만드는 데 매우 열중했다고 말했습니다. 그는 이 이야기를 현실적인 사이버 시나리오가 내장된 영화 대본처럼 생각했다고 말했습니다. 이벤트를 위해 그들은 재미 있고 재미있는 'Gnomes'라는 주제를 선택했습니다. 하지만 중요한 것은 스토리라인 작성뿐만 아니라 스토리 내에서 기술적 과제가 어떻게 계획되었는지도였습니다.

"고블린과 노움의 스토리라인은 모든 것을 둘러싸고 있지만 중요한 것은 공격 경로와 합리적인 방어를 포함하여 보안 전문가로서 접할 수 있는 합리적인 시나리오를 제시하는 것이었습니다."라고 그는 말합니다. "CTF 디자이너로서 더 많은 일을 할수록 학습에 더 좋고 CTF가 더 재미있어집니다."

소프트웨어 개발 접근 방식을 취하세요

CTF 제작자는 도전과제의 기술적 요소를 설계하기 위해 반드시 소프트웨어 개발 접근 방식을 취해야 한다고 Hwong은 권장합니다.

그는 "설계, 구현 및 테스트를 생각해야 합니다."라고 말하면서 그와 그의 팀은 참가자가 다양한 방법으로 조작할 수 있는 복잡한 CTF 환경에서 문제를 테스트하는 것이 얼마나 어려운지 뼈저리게 배웠다고 설명했습니다. .

"무슨 일이 일어났는지, 그리고 테스트를 안내하지 않은 것에 대한 수석 작성자로서 책임을 져야 합니다. 우리가 부정적인 테스트 통과와 실행 가능성 확인을 놓친 것입니다."라고 그는 말합니다. “테스트할 시간이 충분하지 않았기 때문에 챌린지가 진행되는 동안 일부 환경을 계속 잠그고 일부 챌린지는 너무 쉽지 않고 허점이 없었습니다. 한두 시간쯤 지나서 어떤 단계에서 뭔가 풀리지 않는 일을 하게 된 것 같아요.”

따라서 그가 배운 가장 큰 교훈 중 하나는 CTF 설계자가 테스트 및 실행 가능성 작업을 통해 소프트웨어 개발의 엄격함을 테이블에 적용해야 한다는 것입니다.

엄격한 운영… 그리고 약간의 카페인

소프트웨어 개발의 세심함만이 테이블에 등장해야 하는 유일한 기술적 역량은 아닙니다. CTF를 운영하는 승무원에게도 심각한 운영 엄격함이 필요합니다.

"우리는 서버와 AWS 계정, Google 및 Azure 계정을 실행하고 작업이 계속 실행되고 모니터링되는지 확인하는 멋진 사람들이 있었습니다."라고 그는 말합니다. “그건 다 처리해야 해요. 그리고 이를 무시하면 문제가 발생하거나 중단되거나 성능 문제가 발생할 수 있습니다.”

그들이 직면한 운영 문제 중 하나는 팀이 AWS, Google 및 Azure 전반에 걸쳐 모든 참가자를 위한 독립형 환경을 만들 수 없다는 제약을 안고 운영하고 있었기 때문에 참가자와 과제 간의 충돌을 경험했다는 것입니다.

"같은 환경에 있었기 때문에 다른 과제를 해결하는 데 도움이 되었고, 환경을 바꿔야 하는 과제가 있는 경우 사람들이 서로의 발가락을 밟고 공유 개체를 변경하게 됩니다."라고 그는 말했습니다. 팀은 CTF가 진행되면서 참가자들이 서로 마주치지 않도록 정책을 재설정해야 했습니다.

그와 그의 팀은 문제가 발생하거나 실행하는 데 오랜 시간이 걸리기 때문에 전체 CTF의 실행 가능성을 떨어뜨리지 않고 참가자들에게 진정으로 고립된 환경을 제공하기 위해 시간, 노력 및 비용 관점에서 실용적인 방법을 찾기 위해 경험을 통해 배우려고 노력하고 있습니다.

마지막으로 Hwong은 운영 측면에서 CTF 쇼 주자들도 팀과 참가자 간의 지속적인 의사소통을 촉진해야 한다는 점을 염두에 두어야 한다고 말합니다.

"자정 이후에 디스코드에 접속했는데 '아침에 할 얘기가 있는데 자고 갈래?'라고 했어요." Hwong은 농담으로 참가자들이 질문을 하고 질문을 하게 될 것이라고 설명했습니다. 항상 주최자에게 팁과 조언을 요청하세요.

다양한 난이도를 디자인하는 것은 어렵습니다

Hwong은 도전 과제의 난이도를 올바르게 설정하고 공정한 점수 시스템을 만드는 것이 초보자 CTF 조직자가 처음에 생각하는 것보다 어려울 수 있다고 경고했습니다. 그는 자신의 팀이 더 쉽게 디자인한 레벨 중 일부는 참가자가 예상했던 것보다 완료하기가 더 어려웠고, 더 어려운 레벨 중 일부는 예상보다 많은 참가자가 성공적으로 완료했다고 설명했습니다.

난이도 평준화 과제와 함께 합리적인 점수 시스템을 찾아내는 것입니다. DEF CON에서의 경험 이후 Hwong은 일종의 벨 커브 채점 시스템을 사용하는 것을 제안했습니다. 그러나 그는 문제가 곡선을 만드는 것만큼 간단하지 않다고 말했습니다. 또한 대규모 CTF 팀이 챌린지 포인트를 획득하는 데 있어 이점을 정규화하고 균형을 맞추는 문제도 있습니다. 이는 참가자 중 한 명이 이벤트 후에 피드백을 제공한 문제입니다.

“따라서 여러 플레이어가 동시에 도전 과제를 나누어 수행할 수 있다면 10명이 있다면 10배는 빠른 것입니다. 그래서 장점이 있습니다.”라고 그는 말합니다. “그의 요점은 일종의 역동적인 점수 수준이었습니다. 만약 그 사람이 정말, 정말 잘하는 일이 있다면, 그 사람이 그걸 해결하는 유일한 사람일 수도 있고, 그 사람은 최고 점수를 받을 수도 있습니다. 종형 곡선은 그에게 보상을 제공할 것입니다. 규모는 10 대 XNUMX 측면에서 그의 전문 지식 조타실에 있는 것이면 반드시 중요하지는 않습니다. 여기에는 우리가 해결해야 할 몇 가지 논쟁의 여지가 있는 것들이 있습니다.”

한 가지 가능성은 과제를 순차적으로 만드는 것이지만, 그 단점은 CTF를 너무 경직되고 선형적으로 만들 수 있으며 하나 이상의 과제를 날려버릴 수 있는 병목 현상이나 종속성을 만들 수 있다는 것입니다. Hwong은 또한 더 많은 CTF가 너무 많은 발자국과 지문을 남길 경우 환경이나 도킹 지점에서 얼마나 은밀하게 작동하는지와 같은 기술에 대해 참가자들에게 보상하는 것을 보고 싶다고 말했습니다. 이는 그가 향후 이벤트를 설계하면서 탐구하고 싶은 영역입니다. .

그럼에도 불구하고, 동적 득점은 레벨링 문제를 일부 완화할 수 있는 것이며 그와 그의 팀은 내년에 이를 추구하고 있습니다.

블루 팀에는 더 재미있는 CTF 챌린지가 필요합니다

첫 번째 CTF를 통해 작업한 후 Hwong은 이러한 이벤트가 블루 팀 참가자에게 도전하고 실제로 참여하기에 충분하지 않다고 점점 더 믿게 되었습니다.

“블루팀 훈련은 다음과 같이 진행되는 경향이 있습니다. '우리는 취약점이 많은 잘못 구성된 환경을 가지고 있습니다. 가서 고칠 수 있나요?'”라고 그는 말합니다. ” 그리고 그들이 하는 일은 해당 구성이 변경되었는지 여부 또는 이 공개 버킷에 액세스할 수 있는지 여부를 테스트하는 것입니다. 비공개로 설정하면 문제를 해결하고 포인트를 얻게 됩니다. 예를 들어, 만약 당신이 해킹당했다면, 당신의 환경에 공격자가 있다면, 그들을 찾아서 쫓아내야 합니다. 따라서 지금 사건이 진행 중이고 공격자가 있는 한 그들은 자격 증명을 갖고 있으며 그들이 작업을 수행하는 한 이를 탐지할 수 있습니다. 그것이 참가자로서의 당신의 임무입니다. 그리고 액세스 권한을 취소할 때까지는 문제가 해결되지 않으며 최대 점수도 얻을 수 없습니다.”

이러한 종류의 시나리오는 수행하기가 더 어렵지만 수비수에게는 더 현실적이며 CTF를 더 가치있게 만들 것이라고 그는 말했습니다. 그는 다음 번에 이것이 그의 레이더에 있다고 설명했습니다.

CTF에는 더 신선하고 관련성이 높은 구성 요소가 필요합니다.

Hwong은 또한 CTF 설계자와 그 자신에게 더 새로운 공격 및 취약성 정보를 그들의 과제에 통합하도록 도전합니다. 이것은 그가 DEF CON Cloud Village에 처음 방문했을 때 더 많은 시간을 갖고 싶었고 내년에는 이를 개선하기로 결심한 것 중 하나였습니다.

“이것은 CTF가 학습 및 훈련 도구가 될 수 있는 영역 중 하나입니다.”라고 그는 설명합니다. "우리는 연초에 발생했거나 DEF CON에서 발표된 연구원들의 새로운 관련 아이디어와 활용을 활용하고 싶습니다."

'재사용성'을 향상시키는 CTF '빌딩 블록'

마지막으로 Hwong이 배운 가장 큰 교훈 중 하나는 소프트웨어 개발자가 애플리케이션을 위해 하는 것처럼 업계에서도 CTF를 위한 재사용 가능한 구성 요소를 만드는 더 많은 방법을 찾아야 한다는 것입니다. 그는 CTF 구축의 구성 요소를 형성할 수 있는 코드의 작은 연습이 포함된 공개 GitHub 저장소를 구성하는 데 도움을 주는 꿈을 가지고 있습니다.

“여전히 이를 사용자 정의하고 자신만의 방식을 추가해야 하지만 CTF 주최자가 정말 새로운 것에 집중할 수 있도록 처음 60%를 방해하지 않는 것이 좋습니다. 그렇게 하면 아무도 바퀴를 재발명하지 않습니다.”라고 그는 말합니다. "그리고 나머지 40%는 새로운 기술, 시나리오, 스토리라인을 추가하는 데 사용될 수 있습니다."

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/cloud-security/7-lessons-learned-from-designing-a-defcon-ctf