Мероприятия Capture the Flag (CTF) носят одновременно развлекательный и познавательный характер, предоставляя профессионалам в области кибербезопасности возможность совершенствовать свои хакерские навыки и одновременно изучать новые концепции в конструктивной и безопасной среде. Хорошо продуманные CTF подвергают отдельных лиц и команды оперативным задачам, новым путям атак и творческим сценариям, которые впоследствии могут быть применены в их работе как в качестве специалистов по наступательной, так и оборонительной безопасности.
Но не все CTF созданы равными, и для разработки успешного соревнования CTF требуется гораздо больше, чем просто решение задач. Наряду с проблемами технического дизайна, существуют также оперативные аспекты, связанные с созданием среды и фактическим проведением соревнований, творческое планирование, необходимое для создания увлекательной игры, и учет деталей, связанных с геймификацией задач, таких как компромиссы в том, как подсчитывать очки. структура настроена.
«Как дизайнер, я хочу, чтобы это [CTF] было увлекательным занятием. Я хочу вознаграждать людей, которые умны, действительно работают над этим и настойчивы», — говорит Дженко Хвонг, главный исследователь команды Netskope Threat Research Labs и руководитель группы прошлогоднего DEF CON Cloud Village CTF. «Это также должно быть практично для нас».
Веселым и практичным был образ мышления, который Хвонг привнес в DEF CON CTF, масштабное многодневное мероприятие, в котором приняли участие более 400 человек и команд, пытающихся принять участие в соревновании, а команда из 20 человек работала под его руководством, чтобы провести мероприятие. Опытный исследователь и опытный участник CTF, Хвонг никогда не проводил CTF до этого мероприятия. Одной из его самых больших надежд на свою первую попытку работы было повышение актуальности и реалистичности задач в событии, что иногда может стать проблемой в современных CTF.
«Иногда в таких CTF перед тобой стоит очень сложная задача, но какой в этом смысл? Это будет проблема расшифровки или шифрования, когда событие будет выглядеть так: «Вот что-то, удачи», а затем вам придется перепрыгнуть через все эти обручи, которые, возможно, не полностью оторваны от реальности, но на самом деле не вписываются в более широкую картину. сюжетная линия», — говорит он. «Итак, когда мне позвонили, я подумал: «Давайте приступим, давайте придумаем хорошую историю и хороший набор задач, которые будут интересными, но также имеют смысл и, возможно, относятся к реальному миру исследований по тестированию на проникновение». защитные меры, что происходит в реальном мире».
Однако, когда он погрузился в проект, одна вещь, которую он нашел особенно сложной, — это то, насколько мало информации о запуске CTF. Большинство рецензий исходят от участников, которые оценивают мероприятие и объясняют, как они решили проблемы, но редко предлагается информация о передовом опыте проведения мероприятия. В результате он сказал, что ему и его команде пришлось проделать массу работы, создавая задачи практически с нуля.
«Сообщество обычно разделяет массу вопросов, так почему же мы не делимся проблемами CTF?» он говорит. «Я думаю, мы можем добиться большего».
В этом духе обмена опытом с сообществом безопасности он делится некоторыми важными уроками, которые его команда усвоила за время работы, чтобы другие, отвечающие за разработку CTF, могли извлечь уроки и понять этот процесс. Его цель — провести мероприятие снова и опираться на то, чему они научились в прошлом году. Он также надеется, что другие поделятся своими передовыми практиками и даже техническими подробностями, чтобы все сообщество безопасности могло улучшить качество предлагаемых CTF.
Рассказывание историй – это ключ к успеху
Хвонг говорит, что его команда DEF CON Cloud Village очень хотела создать увлекательную и веселую сюжетную линию. Он говорит, что думал об этой истории как о сценарии фильма со встроенными реалистичными киберсценариями. Для мероприятия они выбрали тему «Гномы», которая была веселой и забавной. но важно было не только написание сюжетной линии, но и то, как в ней планировались технические задачи.
«Сюжетная линия гоблинов и гномов охватывает все, но самым важным было придумать разумные сценарии, с которыми вы можете столкнуться как специалист по безопасности, включая пути атак и разумные средства защиты, с которыми вы можете столкнуться», - говорит он. «Чем больше мы, дизайнеры CTF, сможем это сделать, тем лучше будет обучение и тем веселее будет CTF».
Используйте подход к разработке программного обеспечения
Создателям CTF обязательно следует использовать подход к разработке программного обеспечения при разработке технических элементов своей задачи, рекомендует Хвонг.
«Вы должны думать о проектировании, реализации и тестировании», — говорит он, объясняя, что он и его команда на собственном горьком опыте узнали, насколько сложно может быть тестирование задач в сложной среде CTF, которой участники могут манипулировать множеством способов. .
«Произошло то — и я, как ведущий создатель, возьму на себя вину за то, что не руководил тестированием, — мы пропустили отрицательный результат тестирования, а также проверку жизнеспособности», — говорит он. «Отчасти это связано с тем, что у нас не было достаточно времени для тестирования, поэтому я продолжал блокировать некоторые среды, пока испытание было в стадии реализации, чтобы некоторые задачи не были слишком простыми и не было лазеек. Думаю, в какой-то момент в течение часа или двух я сделал что-то неразрешимое на определенном этапе».
Итак, один из важных уроков, который он усвоил, заключается в том, что разработчикам CTF необходимо привнести в разработку программного обеспечения строгий подход, который проходит через тестирование и работу по обеспечению жизнеспособности.
Оперативная строгость… и немного кофеина
Тщательность в разработке программного обеспечения — не единственная техническая способность, которая должна присутствовать. Экипаж, управляющий CTF, также нуждается в серьезной эксплуатационной строгости.
«У нас было несколько замечательных людей, которые управляли серверами, учетными записями AWS, учетными записями Google и Azure и следили за тем, чтобы все работало, и что мы отслеживали ситуацию», — говорит он. «Со всем этим надо разобраться. И если вы проигнорируете это, это может означать, что что-то пошло не так, сломалось или у вас проблемы с производительностью».
Одна из операционных проблем, с которыми они столкнулись, заключалась в том, что они столкнулись с некоторыми противоречиями между участниками и задачами, поскольку команда работала с ограничением, заключавшимся в том, что они не могли создать автономную среду для каждого участника в AWS, Google и Azure.
«Поскольку это происходило в одной и той же среде, это помогало им решать другие задачи, а если перед вами стоит задача, требующая изменения среды, тогда люди наступают друг другу на пятки, меняя общий объект», — сказал он, объяснив, что он и его команде пришлось сбросить политику по мере продвижения CTF, чтобы участники не столкнулись друг с другом.
Он и его команда пытаются извлечь уроки из этого опыта и найти практический метод (с точки зрения времени, усилий и затрат) предоставить участникам по-настоящему изолированную среду, не делая при этом весь CTF менее жизнеспособным из-за того, что что-то ломается или выполнение занимает вечность.
Наконец, Хвонг говорит, что на оперативном фронте организаторы шоу CTF также должны помнить о постоянном общении, которое им необходимо обеспечить между своей командой и участниками.
«Я был в Discord после полуночи и такой: «У меня утром есть доклад, не могли бы вы пойти спать?» — пошутил Хвонг, который объяснил, что у участников будут вопросы, и они собираются постоянно обращайтесь к организаторам за советами и подсказками.
Проектировать разные уровни сложности сложно
Правильно определить уровни сложности задач и создать справедливую систему подсчета очков может быть сложнее, чем может показаться новичку-организатору CTF, предупредил Хвонг. Он объяснил, что некоторые уровни, которые его команда сочла более простыми, участникам было сложнее пройти, чем они ожидали, в то время как некоторые из более сложных уровней были успешно пройдены большим количеством участников, чем ожидалось.
Задача повышения уровня сложности неразрывно связана с разработкой разумной системы подсчета очков. После своего опыта в DEF CON Хвонг является сторонником использования какой-то системы подсчета очков по кривой колокола. Но он говорит, что проблема не так проста, как создание кривой. Существует также проблема нормализации и балансирования преимуществ, которые большие команды CTF имеют в наборе контрольных очков — проблема, о которой один из участников дал ему отзыв после мероприятия.
«Поэтому, если ваши задачи можно разделить и выполнять параллельно несколькими игроками, если у меня есть 10 человек, я буду в 10 раз быстрее. И в этом есть преимущество», — говорит он. «Его точка зрения заключалась в том, чтобы немного повысить уровень динамического подсчета очков. Если есть вещи, в которых он действительно хорош, возможно, он будет единственным, кто их решит, и получит максимальное количество очков. Гауссова кривая вознаградит его по сравнению с масштабом, не обязательно имеет значение, если это что-то в его рубке опыта с точки зрения 10 против одного. Здесь есть некоторые спорные вещи, над которыми нам предстоит проработать».
Одна из возможностей — сделать задачи последовательными, но недостатком этого является то, что это может сделать CTF слишком жестким и линейным, а также создать узкие места или зависимости, которые могут взорвать одну или несколько задач. Хвонг говорит, что ему также хотелось бы, чтобы больше CTF вознаграждали участников за такие методы, как то, насколько скрытно они действуют в окружающей среде или в точках причаливания, если они оставляют слишком много следов и отпечатков пальцев, и это область, которую он хотел бы изучить при планировании будущих событий. .
Тем не менее, динамическое подсчет очков может облегчить некоторые проблемы с прокачкой, и он и его команда стремятся к этому в наступающем году.
Синим командам нужно больше веселых испытаний CTF
После работы над своим первым CTF Хвонг также все больше полагает, что эти мероприятия не дают достаточного результата, чтобы бросить вызов и по-настоящему привлечь участников синей команды.
«Упражнения синей команды обычно проходят следующим образом: «У нас неправильно настроенная среда с множеством уязвимостей. Можешь их починить?», — говорит он. И что они делают, так это просто проверяют, изменены ли эти конфигурации или нет, и могу ли я получить доступ к этому общедоступному хранилищу. И как только вы сделаете это личным, мы будем знать, что вы это исправили, и вы получите баллы. Было бы намного лучше сделать что-то сверх этого, например, что, если вы скомпрометированы, в вашей среде есть злоумышленник, вы должны найти его и выгнать. Итак, прямо сейчас происходит инцидент, и пока злоумышленник есть, у него есть учетные данные, и пока он что-то делает, вы можете его обнаружить. Это ваша работа как участника. И пока вы не отзовете им доступ, вы не решите ее и не получите максимальное количество очков».
Такие сценарии сложнее реализовать, но они более реалистичны для защитников и сделают CTF более ценными для них, говорит он, объясняя, что это его задача в следующий раз.
CTF нуждаются в более свежих и актуальных компонентах.
Хвонг также призывает разработчиков CTF (и себя самого) включать в свои задачи более свежую информацию об эксплойтах и уязвимостях. Это была одна из вещей, которым он хотел бы уделять больше времени во время своего первого выступления в DEF CON Cloud Village, и которую он решил улучшить в следующем году.
«Это одна из областей, где CTF могут стать в большей степени инструментом обучения и подготовки», — объясняет он. «Мы хотели бы использовать актуальные идеи и достижения, свежие от исследователей, появившиеся ранее в этом году или даже представленные на DEF CON».
CTF «Строительные блоки» для улучшения «повторного использования»
Наконец, один из самых важных уроков, по словам Хвонга, который он усвоил, заключается в том, что отрасли необходимо найти больше способов создания повторно используемых компонентов для CTF точно так же, как это делают разработчики программного обеспечения для приложений. Он мечтает помочь организовать открытый репозиторий GitHub с небольшими упражнениями по коду, которые могут стать строительными блоками для создания CTF.
«Вам все равно придется настроить его и добавить что-то свое, но идея в том, чтобы убрать первые 60%, чтобы организаторы CTF могли сосредоточиться на действительно новых вещах. Таким образом, никто не изобретает велосипед», — говорит он. «И тогда оставшиеся 40% могут быть добавлены новые методы, сценарии и сюжетные линии».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cloud-security/7-lessons-learned-from-designing-a-defcon-ctf
- :имеет
- :является
- :нет
- :куда
- $UP
- 10
- 20
- 400
- 7
- a
- в состоянии
- О нас
- доступ
- Учетные записи
- через
- на самом деле
- Добавить
- добавить
- плюс
- После
- снова
- Все
- облегчать
- вдоль
- причислены
- an
- и
- Другой
- Ожидаемый
- Приложения
- прикладной
- подхода
- МЫ
- ПЛОЩАДЬ
- области
- около
- AS
- At
- атаковать
- AWS
- Лазурный
- Балансировка
- BE
- , так как:
- до
- не являетесь
- считает,
- Колокол
- ЛУЧШЕЕ
- лучшие практики
- Лучшая
- между
- большой
- больший
- Крупнейшая
- Немного
- Блоки
- взрывать
- Синии
- изоферменты печени
- Ломать
- приносить
- принес
- строить
- Строительство
- построенный
- но
- by
- призывают
- CAN
- возможности
- нести
- определенный
- вызов
- проблемы
- сложные
- менялась
- изменения
- заряд
- Проверки
- выбрал
- облако
- код
- столкновение
- как
- приход
- Связь
- сообщество
- конкурс
- полный
- полностью
- комплекс
- компоненты
- Ослабленный
- понятия
- соображения
- постоянная
- конструктивный
- продолжающийся
- может
- не мог
- Создайте
- создали
- Создающий
- творческий
- создатель
- Создатели
- Полномочия
- экипаж
- кривая
- настроить
- кибер-
- Информационная безопасность
- Защитники
- оборонительный
- определенно
- Зависимости
- Проект
- предназначенный
- дизайнер
- дизайнеры
- проектирование
- конструкций
- подробнее
- обнаруживать
- застройщиков
- Развитие
- А не было
- различный
- трудный
- Трудность
- раздор
- погружение
- Разделенный
- do
- Dock
- Безразлично
- дело
- Дон
- сделанный
- голубь
- вниз
- нижняя сторона
- мечты
- динамический
- каждый
- Ранее
- легче
- легко
- образовательных
- усилие
- элементы
- столкновение
- шифрование
- закончился
- заниматься
- привлечение
- достаточно
- Окружающая среда
- средах
- равный
- особенно
- Даже
- События
- События
- Каждая
- многое
- выполнять
- ожидаемый
- опыт
- опытные
- опыта
- Объяснять
- объяснены
- объясняя
- Объясняет
- Эксплуатировать
- использует
- Больше
- содействовал
- факторинг
- FAIL
- ярмарка
- БЫСТРО
- Обратная связь
- несколько
- фигура
- Найдите
- First
- соответствовать
- фиксированный
- фиксированной
- Фокус
- Что касается
- навсегда
- форма
- вперед
- найденный
- свежий
- от
- передний
- fun
- веселая
- будущее
- игра
- в общем
- получить
- GitHub
- Дайте
- Go
- цель
- идет
- будет
- хорошо
- есть
- руководящий
- взлом
- было
- Руки
- Случай
- Жесткий
- Сильнее
- Есть
- he
- помог
- помощь
- здесь
- его
- его
- надеется,
- час
- ЧАСЫ
- Как
- HTTPS
- i
- идея
- идеи
- if
- игнорировать
- реализация
- важную
- улучшать
- in
- инцидент
- В том числе
- включать
- все больше и больше
- лиц
- промышленность
- информация
- первоначально
- в
- вовлеченный
- мобильной
- изолированный
- вопрос
- вопросы
- IT
- работа
- JPG
- Прыгать
- всего
- Острый
- хранится
- удар
- Вид
- Знать
- Labs
- Фамилия
- В прошлом году
- новее
- вести
- лидер
- УЧИТЬСЯ
- узнали
- изучение
- Оставлять
- Меньше
- Уроки
- Уроки, извлеченные
- позволять
- уровень
- уровни
- такое как
- мало
- ll
- Блокировка
- Длинное
- лазейки
- серия
- много
- любят
- удачи
- сделать
- ДЕЛАЕТ
- Создание
- манипулировать
- многих
- массивный
- Вопрос
- максимальный
- Май..
- может быть
- значить
- меры
- полночь
- может быть
- Мышление
- пропущенный
- Мониторинг
- БОЛЕЕ
- утро
- самых
- кино
- с разными
- my
- почти
- обязательно
- Необходимость
- потребности
- отрицательный
- никогда
- Новые
- следующий
- нет
- роман
- сейчас
- многочисленный
- объект
- происходящий
- of
- наступление
- предложенный
- on
- ONE
- только
- открытый
- работать
- операционный
- оперативный
- or
- организаторы
- Другое
- Другое
- внешний
- за
- собственный
- Параллельные
- часть
- участник
- новыми участниками
- pass
- пути
- проникновение
- Люди
- производительность
- взял
- запланированный
- планирование
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- игроки
- Точка
- пунктов
- сборах
- возможность
- практическое
- практиками
- представлены
- Основной
- частная
- Проблема
- проблемам
- процесс
- профессиональный
- профессионалы
- Проект
- сторонник
- при условии
- обеспечение
- что такое варган?
- Вопросы
- радар
- редко
- Обменный курс
- RE
- реальные
- реальный мир
- реализм
- реалистичный
- Реальность
- на самом деле
- разумный
- рекомендует
- Связанный
- соответствующие
- осталось
- хранилище
- обязательный
- требуется
- исследованиям
- исследователь
- исследователи
- решен
- результат
- многоразовый
- Предложение
- правую
- жесткий
- Прокат
- Run
- Бег
- s
- безопасный
- Сказал
- то же
- говорит
- Шкала
- Сценарии
- счет
- поцарапать
- скрипт
- закаленный
- безопасность
- посмотреть
- смысл
- серьезный
- Серверы
- набор
- установка
- Поделиться
- общие
- Акции
- разделение
- должен
- показывать
- навыки
- спать
- небольшой
- So
- Software
- Разработчики программного обеспечения
- разработка программного обеспечения
- РЕШАТЬ
- Решает
- некоторые
- удалось
- иногда
- скоро
- дух
- автономные
- Шаг
- ступая
- По-прежнему
- История
- простой
- Структура
- успешный
- Успешно
- такие
- Убедитесь
- система
- ТАБЛИЦЫ
- взять
- Говорить
- команда
- команды
- Технический
- снижения вреда
- Тенденцию
- terms
- тестXNUMX
- Тестирование
- чем
- который
- Ассоциация
- их
- Их
- тема
- тогда
- Там.
- Эти
- они
- задача
- вещи
- think
- этой
- те
- хоть?
- мысль
- угроза
- Через
- время
- раз
- Советы
- в
- сегодня
- тонна
- слишком
- инструментом
- топ
- Обучение
- по-настоящему
- стараться
- пытается
- поворот
- два
- под
- понимать
- На ходу
- до
- us
- использование
- ценный
- Ve
- Против
- очень
- ветеран
- жизнеспособность
- жизнеспособный
- Деревня
- Уязвимости
- уязвимость
- информация об уязвимости
- хотеть
- предупреждал
- законопроект
- был
- Путь..
- способы
- we
- ЧТО Ж
- были
- Что
- Колесо
- когда
- будь то
- который
- в то время как
- КТО
- все
- зачем
- будете
- в
- без
- Работа
- работает
- Мир
- бы
- Wouldn
- Завернутый
- письмо
- год
- Ты
- ВАШЕ
- зефирнет